Hva er en konto og hva er den til? Finne kilden til en brukerkontosperring i Active Directory Hva er en kontosperring

I denne artikkelen vil vi beskrive hvordan spor blokkerende hendelser brukerkontoer på Active Directory-domenekontrollere, bestemme fra hvilke datamaskin og fra hvilket spesifikt program permanent blokkering. Vurder å bruke Windows Security Log-låskilde og PowerShell-skript for å finne kilden.

Kontosikkerhetspolicyen i de fleste organisasjoner krever at en brukerkonto i Active Directory-domenet låses ute hvis en bruker skriver feil passord n ​​ganger. Vanligvis låses kontoen ute av domenekontrolleren etter flere forsøk på å angi feil passord i flere minutter (5-30), hvor brukeren ikke kan logge på systemet. Etter å ha bestemt tiden angitt av sikkerhetspolicyene, låses domenekontoen opp automatisk. Midlertidig blokkering av en konto lar deg redusere risikoen for passordgjetting (enkel brute force) for AD-brukerkontoer.

I tilfelle brukerkontoen i domenet er blokkert, vises en advarsel når du prøver å autorisere i Windows:

Den refererte kontoen er for øyeblikket utestengt og kan ikke være logget på ….

Retningslinjer for låsing av domenekontoer

$brukernavn = 'brukernavn1'
Get-ADDomainController -fi * | velg -exp vertsnavn | %(
$GweParams = @(
'Datamaskinnavn' = $_
'LogName' = 'Sikkerhet'
‘FilterXPath’ = "* og EventData="$Username"]]"
}
$Events = Get-WinEvent @GweParams
$hendelser | foreach ($_.Computer + " " +$_.Properties.value + " " + $_.TimeCreated)
}

Merk. Hvis det er flere domenekontrollere, må søkeoperasjonen for låsehendelser søkes gjennom loggene på hver av dem, du kan også ordne . Du kan gjøre denne vanskelige oppgaven enklere ved hjelp av Microsoft Account Lockout and Management Tools-verktøyet (du kan laste det ned). Ved å bruke dette verktøyet kan du spesifisere flere domenekontrollere samtidig, hendelsesloggene du vil overvåke, antall feil passordoppføringer for en bestemt bruker (attributter badPwdCount og LastBadPasswordAttempt er ikke replikert mellom domenekontrollere).

Vi identifiserer programmet, årsaken til blokkering av en konto i AD

Så vi har bestemt fra hvilken datamaskin eller enhet kontoen ble blokkert. Nå vil jeg gjerne forstå hvilket program eller hvilken prosess som utfører mislykkede påloggingsforsøk og er kilden til låsen.

Ofte begynner brukere å klage på å blokkere kontoen sin på domenet etter en planlagt passordendring domenekontoen din. Dette antyder at det gamle (feil) passordet er lagret i et program, skript eller tjeneste som med jevne mellomrom prøver å logge på domenet med det gamle passordet. Tenk på de vanligste stedene der en bruker kan bruke sitt gamle passord:

1. Montering av en nettverksstasjon via nettbruk (Map Drive)
2. I Windows Scheduler-oppgaver (Task Scheduler)
3. I Windows-tjenester som er konfigurert til å kjøre under en domenekonto
4. Lagrede passord i (Credential Manager)
5. Nettlesere
6. Mobile enheter (brukes for eksempel for å få tilgang til bedriftspost)
7. Autopåloggingsprogrammer
8. Ufullstendige brukersesjoner på andre datamaskiner eller terminalservere
9. Og så videre.

Råd. Det finnes en rekke tredjepartsverktøy (for det meste kommersielle) som lar administratoren sjekke den eksterne maskinen og oppdage kilden til kontosperring. Som en ganske populær løsning legger vi merke til Account Lockout Examiner fra Netwrix.

For en mer detaljert revisjon av låser på den funnet maskinen, må du aktivere en rekke lokale . For å gjøre dette, åpne Group Policy Editor på den lokale datamaskinen der du vil spore blokkeringskilden Gpedit.msc og i seksjonen Compute Configurations -> Windows Settings -> Security Settings -> Local Policys -> Audit Policy aktivere policyer:

• Revisjonsprosesssporing: Suksess , fiasko
• Revisjon påloggingshendelser: Suksess , fiasko

Vent på neste kontolås og se i sikkerhetsloggen for hendelser med Hendelses-ID 4625. I vårt tilfelle ser denne hendelsen slik ut:

Fra beskrivelsen av hendelsen kan det ses at kilden til kontoblokkering er prosessen mssdmn.exe(er en del av Sharepoint). Det eneste som gjenstår er å informere brukeren om at de må oppdatere passordet sitt i Sharepoint-nettportalen.

Etter slutten av analysen, identifisering og straff av den skyldige, ikke glem å deaktivere effekten av de aktiverte revisjonsgruppepolicyene.

I tilfelle du fortsatt ikke kunne finne ut årsaken til å blokkere kontoen på en bestemt datamaskin, for å unngå permanent blokkering av kontoen, bør du prøve å gi nytt navn til brukerkontonavnet i Active Directory. Dette er vanligvis den mest effektive metoden for beskyttelse mot plutselig blokkering av en bestemt bruker.

Vel, endelig, i det minste litt fordøyelig informasjon.
Spørsmål : hvorfor blokkerer Google+ profilen min... eller Google+-kontoen min ble blokkert - hvorfor og hva skal jeg gjøre?

Så fra offisielle kilder (svar fra Google-ansatte):

For de som står overfor problemet med å blokkere en Google+-profil, informerer jeg deg om at når vi blokkerer brukerprofiler, veiledes vi av følgende Regler angående oppførselen til brukere og innholdet de legger ut.

Noen tips for å unngå blokkering:
1. Vennligst skriv inn ditt virkelige for- og etternavn eller navnet og etternavnet som venner, slektninger og kolleger kjenner deg under.
Hvis du legger inn det virkelige navnet ditt på profilen din, vil du være lett å finne på Internett. Titler som brukes til å henvende seg til deg i profesjonelle, pedagogiske, sosiale eller religiøse institusjoner (som "lege", "ærverdig" eller "professor") kan ikke brukes i profilfelt. Eksempler på brudd: Dr. Stanislav Liventsov; D.M. Sergeev. Navnet må heller ikke inneholde uvanlige eller unødvendige tegn, som f.eks * eller @.

2. Ikke legg ut seksuelt innhold.

For å oppheve blokkeringen av tilgang, følg instruksjonene på profilsiden din og profilen din vil bli opphevet om kort tid. Hvis opplåsing av kontoen nektes, gjenstår bruddene. Rett dem, send inn en klage og kontoen åpnes.

Vennlig hilsen,

Katia.

Jeg skal sitere et annet svar på et lignende spørsmål:

Profilblokkering er forbundet med et brudd Regler produktbruk. Vennligst les reglene og korriger brudd før du sender inn en klage eller legger inn en klage i dette forumet. Du kan rette opp brudd ved å følge instruksjonene på profilsiden din.

Den vanligste årsaken til blokkering er tillegg av et fiktivt eller ikke-eksisterende navn.

Her er ekte eksempler på profilnavn som vi nylig har blokkert:

Leker Baby
- Far Frost
- Jeg vil ikke fortelle det ubeskrivelige
- Babyklasse

Og det er hundrevis, om ikke tusenvis!

OBS: Navn må være ekte uten unødvendige forkortelser og symboler! Her er kriteriene som vi veiledes etter når vi blokkerer kontoer for feil navn.

Hvis du ikke vil oppgi ditt virkelige navn, kan du velge bort Google+-funksjonene.

Etter min mening, en ganske merkelig grunn til å blokkere ... Kanskje du også må oppgi passdata og en identifikasjonskode?)))

Etter slike forklaringer blir Twitter hyggeligere mot meg) - og mine fantastiske venner - Dunno, Violet, Toffee og andre). Varme følelser...
Hovedsaken er at nå er det klart hvor du kan søke på russisk. Så forumsiden Brukerstøtte, hvor det er sannsynlig at fagfolk vil svare deg, og kanskje til og med Google-ansatte - google+ forum.

mandag 14. januar 2019

Tror du at kontoen din ble utestengt eller suspendert ved en feiltakelse? Fyll ut vårt nettskjema.

Vi ønsker å hjelpe! Gi oss beskjed hvis du tror at forbudet eller suspensjonen av EA-kontoen din eller et av brukernavnene knyttet til den var en feil.

1. Klikk på toppen av en hvilken som helst side på EA Help.
2. Velg spillet som kontoen din ble utestengt eller suspendert fra. Hvis det er på hele EA-kontoen din, velg Opprinnelse.
3. Velg din plattform.
4. Å velge Administrer kontoen min, deretter Utestengt eller suspendert konto.
5. Fyll ut eventuelle andre detaljer nedenfor.
   • For eksempel, hvis du valgte Origin, kan det spørre deg om du får tilgang til spillet gjennom et Origin Access-medlemskap.
6. Klikk Velg kontaktalternativ.
7. Logg på kontoen din som har utestengelsen eller suspensjonen, hvis du ikke allerede er det.

Da vil du se vårt e-postnettskjema. Fyll ut for å gi oss alle detaljene for saken din.

Når du fyller ut nettskjemaet:

Emnelinjen skal følge dette formatet: – –

Her er noen eksempler:

• Utestengt konto - Battlefield 1 - MySoldierABC
• Suspendert konto – Answers HQ – Player1234

Ta med denne informasjonen i beskrivelsen

Under emnelinjen er det en tekstboks der du kan beskrive problemet ditt. Vi trenger å vite disse tre tingene slik at vi kan hjelpe deg:

1. Ditt brukernavn
   • Dette er din EA ID, PlayStation™Network Online ID, Xbox Live gamertag, EA mobilspillspesifikk bruker-ID eller spillspesifikk brukernavn.
   • Answers HQ-brukernavnet ditt er det samme som EA-ID-en din, men brukernavnet ditt for et spillspesifikt forum, som The Sims , kan være annerledes. Sørg for at du gir oss brukernavnet ditt og det spesifikke forumet og hvilket språk det er på når du kontakter oss.
   • Trenger du hjelp til å finne din mobile bruker-ID? .
2. Detaljert informasjon som inkluderer eventuelle feil- eller varslingsmeldinger du så.
   • Fortell oss hva som skjer og hvorfor vi må ta en ny titt på handlingen vi tok på kontoen din.
3. E-postadressen som er på den utestengte eller suspenderte EA-kontoen din.
   • Hvis du spiller på et mobilspill, kan det hende at e-postadressen din ikke er koblet til det spillet. Sørg for å sende oss en e-post med en e-postadresse som er koblet til en EA-konto, slik at du kan få mer informasjon om handlingen som ble utført på din mobilspillkonto.

Vi gjennomgår hvert skjema vi får fra sak til sak. Selv om vi prøver så godt vi kan å svare innen fem virkedager, er vi mennesker. Noen ganger trenger vi lengre tid for å gjøre det riktig.

Se etter e-poster fra [e-postbeskyttet] . Vi sender våre første e-poster om utestengelser og suspensjoner og våre svar til deg fra den adressen.

Vi hjelper deg gjerne med spillene dine og andre spørsmål når du ringer eller chatter med oss. Men teamet som hjelper med utestengte og suspenderte kontoer fungerer kun via e-post. Ved å sende inn dette nettskjemaet vil saken din være hos teamet som spesifikt jobber med kontoforbud og suspensjoner.

• Jeg fikk ikke e-posten?
• Du kan ikke fjerne kontoen min? Hvem andre kan hjelpe meg?
• Jeg vet ikke hvilken konto som fikk forbudet?
• Jeg kan ikke komme på nett på noen EA- eller ikke-EA-spill?

Hva om jeg ikke fikk e-posten?

Du bør se de første e-postene om forbud og suspensjoner og eventuelle svar fra [e-postbeskyttet] . Vær sikker på at du:

• Legge til [e-postbeskyttet] som en trygg avsender.
• Sjekk søppelpost, søppelpost eller sosiale mapper.

Hva om du ikke kan fjerne forbudet mot kontoen min? Hvem kan hjelpe meg?

Noen spill har sin egen tvisteprosess. Bruk lenken til spillet ditt hvis du ser det på listen.

Venner, hei. Dagens artikkel vil først og fremst være nyttig for bedriftsbrukere av Windows-baserte datamaskiner som arbeider med standard lokale kontoer. Mens tilgang til kontoer med administratorstatus kun kan utføres av autoriserte personer i selskapet i form av ansatte i IT-seksjonen. Selv om det er i et bestemt familiemikroklima, kan problemet beskrevet nedenfor oppstå ved bruk av hjemmeenheter. Hva slags problem er dette? Og dette er manglende evne til å få tilgang til Windows med et varsel på låseskjermen "Brukerkontoen er låst og kan ikke brukes til å logge på nettverket." Hva slags blokkering er dette, og hvordan håndteres det?

Så vi kan ikke gå inn i Windows, fordi vi ser dette på låseskjermen.

Slik blokkering er resultatet av et visst antall mislykkede autorisasjonsforsøk i den lokale kontoen, hvis datamaskinadministratoren har gjort de riktige lokale gruppepolicyinnstillingene.

Windows-kontolåsing

Datamaskinadministratoren i lokale gruppepolicyer kan angi et visst antall forsøk på å logge på brukerkontoer. Hvis dette antallet forsøk overskrides, blokkeres kontoen fra å logge på. Dette er en slik beskyttelse mot å gjette passord. Selv om vi ikke har å gjøre med en situasjon hvor vi prøver å gjette et passord for en annens konto, men bare dens sanne eier skrev inn tegn uoppmerksomt eller ikke så på tastaturoppsettet, vil du ikke kunne logge på selv om du skriver inn riktig passord. Du må vente på tiden angitt av administratoren til telleren for påloggingsforsøk er tilbakestilt. Og, selvfølgelig, inntil tidspunktet for selve blokkeringen utløper.

Slik beskyttelse mot passordgjetting er satt i den lokale gruppepolicyredigereren, i kontosperrepolicyen.

Når du angir denne terskelen, vil andre policyinnstillinger - tiden før blokkertelleren tilbakestilles og varigheten av selve blokkeringen - automatisk settes til 30 minutter.

De kan endres om nødvendig. Og for eksempel, angi en kortere tid for å tilbakestille telleren for mislykkede passordforsøk.

Og tidspunktet for blokkering av selve kontoen øker tvert imot.

Denne beskyttelsen gjelder kun for lokale kontoer og fungerer ikke når du prøver å gjette et passord eller pinkode for tilkoblede Microsoft-kontoer.

Du kan oppheve blokkeringen av en blokkert konto på flere måter:

Logg på med en administratorkonto og lås opp;

Hvis tilgang til administratorkontoen ikke er mulig, lås den opp ved å starte opp fra en flyttbar enhet og justere noe i Windows-registeret.

Slik låser du opp Windows-kontoen din hvis du har administratortilgang

Hvis kontoen din er låst, men du har tilgang til administratorkontoen, må du logge på sistnevnte og låse opp din på denne måten. Trykk på Win + R-tastene, skriv inn:

I vinduet som åpnes, i mappen "Brukere", se etter kontoen din og dobbeltklikk på den.

I egenskapsvinduet som åpnes, fjerner du merket for "Blokker konto". Søke om.

Vi prøver å logge på kontoen vår.

• Merk: Hvis du ikke har et passord for administratorkontoen, ikke prøv å gå inn med valget. Passordbeskyttelse gjelder for alle lokale kontoer, inkludert administratoren. Kontoen hans etter et visst antall mislykkede autorisasjonsforsøk vil også bli blokkert.

Slik låser du opp Windows-kontoen din hvis du ikke har administratortilgang

Hvis det ikke er tilgang til administratorkontoen, får vi en DVD-ROM eller flash-stasjon med installasjonsprosessen til en hvilken som helst versjon av Windows eller en Live-disk med muligheten til å redigere registret til operativsystemet. Vi starter datamaskinen fra en flyttbar enhet, i vårt tilfelle er det en Windows 10-installasjonsflash-stasjon. Viktig: å starte fra en flyttbar enhet bør bare utføres når Windows 8.1 og 10-systemer startes på nytt. Du kan ikke bruke en normal nedleggelse, fordi i disse versjonene, på grunn av den akselererte oppstartsfunksjonen, lastes systemkjernen fra en tidligere lagret fil på disken. Det vi trenger er at kjernen starter opp med de modifiserte registerinnstillingene.

På den første fasen av Windows-installasjonen, trykk Shift + F10. Vi starter registret med kommandolinjen:

I oversiktsvinduet går du til roten til enhetene "Denne PCen" og går til Windows-delen. Vi har den utpekt som en stasjon (C:\), men systemstasjonen kan også vises under en annen bokstav. Her må du navigere etter volumet til seksjonen. På systempartisjonen åpner du "Windows"-mappene, deretter "System32", deretter "config". Inne i sistnevnte trenger vi en SAM-fil, dette er den såkalte registry-hive, åpne den.

En åpen busk må navngis på en eller annen måte, navnet er uprinsippløst. La oss kalle det 777.

Inne i registernøkkelen HKEY_LOCAL_MACHINE ser vi nå en ny gren 777. Vi åpner banen inne i den:

777 - SAM - Domener - Konto - Brukere - Navn

Vi finner navnet på kontoen vår i mappen "Navn". For eksempel trenger vi brukeren Vasya. Vi ser på hva som vises på registerpanelet til høyre når Vasya er valgt. Vi har en verdi på 0x3f8. Samme verdi, men bare i et annet skriveformat – med ekstra nuller foran og caps – ser vi nå etter høyere, inne i «Brukere»-mappen.