为什么域账户经常被无缘由的锁定?(done)
近来有同事一早上就打电话报故障,PC无法登录,提示域账户被锁定。而且奇怪的是每次就是那么几个人,频繁的出现此类情况,于是就开始了排查。
一、分析
可能性一:病毒攻击
系统被植入恶意软件或者病毒,网站空间,导致不断连接服务器,而被锁定
可能性二:系统服务
某些系统服务可能设置成了用特定的域账号来启动,如果在对应的账号更新密码以后,没有做相应的服务账户更新也会造成锁定。
可能性三:域账户策略
账号锁定阀值设置的小,误操作导致账户错误可能极易造成锁定。
可能性四:计划任务
计划任务可能设置成了用域账号来运行,可是更新域账户密码后并没有及时更新账号的密码。
可能性五:SSO登录错误
集成域账户的应用(终端服务/远程桌面/网络打印/dot1x准入系统/无线验证/Exchange邮箱)这些应用如果对应的账号改了密码,就可能导致登录用错误的身份去执行程序并最终锁定账号。
可能性六:共享域账户
有多个用户使用同一个账号,也许其中一个用户修改密码后,其它用户仍然用错误的密码登陆,多次尝试错误登录造成账号锁定。
可是虽然如此,可是到底是who造成的呢?
我们要得到信息才行,美国空间,如何获取,我们要用审计功能。
二、排查过程
开启账户登录审计功能
1.审核登录事件
成功/失败都生成时间记录
2.审核账户登录事件
3.刷新策略
4.模拟错误登录
5.查看事件
失败的登录事件4771,这边我们就可以看到登录失败的客户端IP地址、域账户名称,由此就可以去远程登录管理或者电话询问当事人
这边用的是域控制器的策略审计功能,真的很不错,也不需要借助于第三地方软件,绿色环保安全。
以上是我工作中的使用的解决方法,感觉还可以,分享给大家。
本文出自 “server & security” 博客,虚拟主机,请务必保留此出处
爱人,却不一定能够听懂。他们听见的,多是抱怨不休,心烦意乱。
