- Articolo - Lock Out Events ( Account Bloccati in Active Directory )
Alcune volte può capitare che gli account di Active Directory vengano bloccati a causa di tentativi di accesso con password errata. Questo problema può accadere se l’utente, dopo aver cambiato la password, non ha aggiornato le credenziali sui vari dispositivi (es: Smartphone) o degli applicativi che utilizza. Altre volte le cause possono essere:
Password di rete salvate relative all’account
Operazioni pianificate eseguite con le credenziali dell’account
Servizi in esecuzione con le credenziali dell’account
Applicazioni che utilizzano al loro interno con le credenziali dell’account
Utilizzo delle credenziali dell’account per connettersi a reti wifi
Utilizzo delle credenziali dell’account per connettersi via Remote Desktop
Per capire da quale fonte nasce il problema è possibile eseguire su un Domain controller lo script allegato,
lo stesso genera una file .csv con tutti gli account bloccati a dominio, con relativi orari e server di riferimento, a questo punto cercando l'Event ID 4740 in "security" nel server di riferimento (DC) troviamo il nome del dispositivo che ha generato il blocco dell'account.
Eseguire .\LockAccount.ps1 da una finestra PS come credenziali elevate
Sotto una finestra di esempio dei risultati, sulla prima colonna il server che ha lockato l'account
il .csv generato
l'Event ID 4740
un esempio di account bloccato - sotto la voce "Computer" troviamo il nome dell'apparato che ha generato il blocco
- Fine Articolo HOME