Inspekcja natywna
Z tego rozdziału dowiesz się, jak można znaleźć źródło blokady konta za pomocą podglądu zdarzeń. Zanim zaczniesz, sprawdź, czy zasady inspekcji są ustawione na inspekcję zdarzeń logowania. W tym celu:
- Krok 1: Przejdź do obszaru Group Policy management console → Computer configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy..
- Krok 2: Włącz Audit account logon I Audit logon. Włącz inspekcję udanych i nieudanych wydarzeń.
- Krok 3: Teraz przejdź do obszaru Event Viewer i przeszukaj dzienniki pod kątem Event ID 4740. W szczegółach dziennika blokady konta użytkownika pojawi się nazwa komputera wywołującego.
- Krok 4: Przejdź do komputera wywołującego i przeszukaj dzienniki w poszukiwaniu źródła tej blokady.
- Krok 5: Wyszukaj w dziennikach wydarzenia, które miały miejsce w okolicach czasu, gdy użytkownik został zablokowany.
- Krok 6: Sprawdź historię ostatniego logowania użytkownika, prób logowań, usług, i aplikacji używających poświadczeń konta użytkownika, zaplanowane zadania, zmapowane urządzenia itp.
- Krok 7: W przypadku używania nieaktualnego hasła, zaktualizuj hasło użytkownikai wymuś replikację.
Ustalanie, co blokuje konto Active Directory za pomocą ADAudit Plus
Znalezienie źródła blokady konta można wykonać jednym kliknięciem za pomocą programu ADAudit Plus Są dostępne szczegółowe dane dotyczące użytkownika, którego konto zostało zablokowane, daty blokady, lokalizacji i powodu. Natychmiastowe alerty mogą być wysyłane na adres e-mail administratora lub na jego telefon po zablokowaniu użytkownika z uprawnieniami lub gdy liczba blokad będzie za wysoka.
Raporty te zawierają następujące informacje:
- Nazwa użytkownika, który został zablokowany
- Kontroler domeny i komputer wywołujący, z którego użytkownik został zablokowany
- Czas blokady
- Wcześniejsze próby logowania użytkownika
- Szczegóły usług, zmapowanych dysków i aplikacji korzystających z poświadczeń konta użytkownika
Otrzymuj natychmiastowe alerty wysyłane po zablokowaniu użytkownika z uprawnieniami lub gdy liczba blokad będzie za wysoka. Te alerty mogą również zostać wysłane z ADAudit Plus bezpośrednio na adres e-mail lub w formie wiadomości SMS do technika lub administratora. To narzędzie blokady AD pozwala znaleźć i rozwiązać problemy związane z blokadą kont w mniej niż kilka minut.