самопроизвольная блокировка Учётной записи в AD

monkkey · Отправлено: **16:10, 21-03-2008** | #2

exo,
Смотрите на контроллере домена лог Security - скорее всего, некое специфическое ПО пытается посылать запросы на DC.
Кстати, может помочь тривиальная смена пароля.

exo · Конфигурация компьютера

пароль меняли - не помогло.

Цитата monkkey:

Смотрите на контроллере домена лог Security »

Код:

Authentication Ticket Request:
 	User Name:		lika
 	Supplied Realm Name:	domain
 	User ID:			-
 	Service Name:		krbtgt/domain
 	Service ID:		-
 	Ticket Options:		0x40810010
 	Result Code:		0x12
 	Ticket Encryption Type:	-
 	Pre-Authentication Type:	-
 	Client Address:		192.168.0.152
 	Certificate Issuer Name:	
 	Certificate Serial Number:	
 	Certificate Thumbprint:

выделенное смущает...
Event ID 672
вот, нашёл:

Код:

Logon Failure:
 	Reason:		Account locked out
 	User Name:	lika
 	Domain:	domain
 	Logon Type:	3
 	Logon Process:	NtLmSsp 
 	Authentication Package:	NTLM
 	Workstation Name:	CPU10
 	Caller User Name:	-
 	Caller Domain:	-
 	Caller Logon ID:	-
 	Caller Process ID: -
 	Transited Services: -
 	Source Network Address:	192.168.0.152
 	Source Port:	1608

Event ID 539

Код:

Logon attempt by:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:	lika
 Source Workstation:	CPU10
 Error Code:	0xC0000234

Event ID 680 это уже её попытка залогинется при блокированной учётке.

HLT · Отправлено: **18:02, 27-03-2008** | #4

Вероятно, пользователь сменил пароль, а где-то в "сохраненных паролях" остался старый.
Несколько раз сталкивался с сохраненными паролями на подключенные сетевые диски
Или какое-то задание запускается от имени пользователя со старым паролем
Или какая-нибудь служба
Для начала можно попробовать в AD разрешить пользователю логиниться только на одной машине. Если проблема останется - значит смотреть event log на этом компе
Если исчезнет - значит где-то на каком-то другом компьютере в свое время этот пользователь, например, подключил принтер или сетевой диск, а отключить забыл. И теперь на нем эти ресурсы постоянно пытаются подключится со старым паролем.

monkkey · Отправлено: **09:32, 28-03-2008** | #5

exo,
Логинится с одной машины или пробовали с разных?

exo · Конфигурация компьютера

Цитата monkkey:

Логинится с одной машины или пробовали с разных »

с одной.
задача поменялась:
Как в Active Directory для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включена постоянно, не смотря на не правильный перебор паролей.

madmax24 · Отправлено: **17:19, 06-05-2008** | #7

exo, так сделай срок действия пароля неограниченным в свойствах пользователя.

exo · Конфигурация компьютера

Цитата madmax24:

действия пароля неограниченным »

уже стоит.
я тут нашёл как на весь домен отключить блокировку. Account Lockout Threshold нужно в 0 поставить. А как для одного пользователя. точнее двух уже...

madmax24 · Отправлено: **17:30, 06-05-2008** | #9

Цитата exo:

Account Lockout Threshold нужно в 0 поставить »

А это хде? В ГПО или где то в другом месте?

exo · Конфигурация компьютера

Цитата madmax24:

А это хде »

Блокировка учетной записи включается следующим образом.

Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
В консоли Security Settings (Параметры безопасности) в узле Account Policies (Политики учетных записей) выберите Account Lockout Policy (Политика блокировки учетной записи).
Дважды щелкните на опции Account Lockout Threshold (Порог блокировки учетной записи).
В опции Account Lockout Threshold установите разрешенное количество попыток входа перед блокировкой учетной записи. Укажите любое значение от 1 до 999. Значение 0 отключает данную опцию. (Рекомендуется устанавливать значение порога в диапазоне от 3 до 5.)
Нажмите на кнопку OK.
Диалоговое окно проинформирует о том, что длительность блокировки и сброс счетчиков установлены на 30 мин.
Установите значение опции Account Lockout Duration (Длительность блокировки учетной записи), дважды щелкнув на ней. Укажите промежуток времени, в течение которого учетная запись будет находиться в заблокированном состоянии – любое значение от 1 до 99999 мин. Значение 0 заблокирует учетную запись до тех пор, пока администратор не разблокирует ее вручную.
Нажмите на кнопку OK.
Установите значение опции Reset Account Lockout Counter (Сброс счетчика блокировки учетной записи), дважды щелкнув на ней. Укажите интервал времени, по прошествии которого счетчик блокировки сбрасывается – любое значение от 1 до 99999 мин.
Нажмите на кнопку OK.