Cómo encontrar la fuente de un bloqueo de cuenta en Active Directory

En esta publicación, aprenderá cómo encontrar la fuente de bloqueo de cuentas en Active Directory.

Le mostraré dos métodos: el primero usa PowerShell y el segundo es una herramienta de interfaz gráfica que creé que hace que sea muy fácil desbloquear cuentas de usuario y encontrar la fuente del bloqueo.

El bloqueo de las cuentas de los usuarios es un problema común, es uno de los principales atractivos del servicio de soporte.

Lo que es molesto es cuando desbloqueas la cuenta de un usuario y continúa bloqueándose aleatoriamente. El usuario puede iniciar sesión en múltiples dispositivos (teléfono, ordenador, aplicación, etc.) y si cambia su contraseña, causará problemas de bloqueo constantes.

Esta guía lo ayudará a rastrear la fuente de estos bloqueos.

Echale un vistazo:

Índice

    Videotutorial

    Si no le gustan los tutoriales en video o desea obtener más información, siga leyendo las instrucciones a continuación.

    Método 1: use PowerShell para encontrar la fuente del bloqueo de la cuenta

    Tanto PowerShell como la herramienta GUI deben auditarse antes de que los controladores de dominio puedan anotar cualquier información útil.

    Paso 1: habilite la auditoría

    El ID de evento 4740 debe estar habilitado para que se bloquee cada vez que se bloquee al usuario. Este ID de evento contendrá el ordenador de bloqueo original.

    1. Abra la Consola de administración de políticas de grupo. Esto puede ser desde un controlador de dominio o cualquier ordenador en la que estén instaladas las herramientas RSAT.

    2. Cambiar la política del controlador de dominio predeterminado

    Vaya a la Política de controladores de dominio predeterminados, haga clic con el botón derecho y seleccione editar.

    3. Cambiar la configuración de la política de auditoría extendida

    Vaya a Configuración del ordenador -> Configuración de seguridad -> Configuración avanzada de políticas de auditoría -> Políticas de auditoría -> Administración de cuentas

    Incluya el éxito y el fracaso de la política "Comprobar el control de cuentas de usuario".

    La auditoría ahora está habilitada y el evento 4740 se registrará en los registros de eventos de seguridad si la cuenta está bloqueada.

    Paso 2: busque el controlador de dominio con la función de emulador de PDC

    Si tiene un controlador de dominio (qué vergüenza), entonces puede ir al siguiente paso... esperemos que tenga al menos dos DC.

    DC con la función de emulador de PDC registrará cada bloqueo de cuenta con el ID de evento 4740.

    Para encontrar el controlador de dominio que tiene la función PDCEmulator, ejecute este comando de PowerShell

    get-addomain | select PDCEmulator

    Paso 3: busque el ID de evento 4740 con PowerShell

    Todos los detalles necesarios se encuentran en el evento 4740. Ahora que sabe qué DC actúa como pdcemulator, puede filtrar los registros para ese evento.

    En DC, que actúa como un PDCEmulator, abra PowerShell y ejecute este comando

    Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}

    Esto buscará los registros de eventos de seguridad para el evento ID 4740. Si tiene una cuenta bloqueada, debe crear una lista similar a la siguiente.

    Utilice este comando para mostrar los detalles de estos eventos y obtener el origen del bloqueo.

    Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl

    Esto mostrará el nombre del ordenador del suscriptor con el candado. Esta es una fuente de bloqueo de la cuenta de usuario.

    También puede abrir el registro de eventos y filtrar eventos para 4740

    Esto es para el método 1.

    Aunque este método funciona, requiere algunos pasos manuales y puede llevar mucho tiempo. También puede tener empleados que no estén familiarizados con PowerShell y necesiten realizar otras funciones, como desbloquear o restablecer una cuenta de usuario.

    Es por eso que creé una herramienta con una GUI de desbloqueo de usuario de Active Directory. Esta herramienta permite a los empleados encontrar muy fácilmente todos los usuarios bloqueados y el origen de las cuentas bloqueadas.

    Consulte los siguientes pasos para usar la herramienta de desbloqueo de GUI.

    Método 2: use la herramienta de desbloqueo de usuario de la GUI para encontrar la fuente del bloqueo de la cuenta

    Creé esta herramienta para que sea muy fácil para cualquier empleado desbloquear cuentas, restablecer contraseñas y encontrar una fuente para bloquear cuentas. También tiene algunas características adicionales para ayudarlo a encontrar la fuente del bloqueo.

    Al igual que PowerShell, esta herramienta requiere que la auditoría esté habilitada para administrar cuentas. Consulte los pasos anteriores para habilitar estos registros de auditoría.

    Paso 1. Abra el kit de herramientas AD Pro, haga clic en Desbloqueo de usuario

    Puede descargar una versión de prueba gratuita aquí.

    Paso 2. Seleccione Solución de problemas con bloqueo

    Seleccione "Solucionar problemas de bloqueo" y haga clic en "Ejecutar".

    Ahora tendrá una lista de eventos que mostrarán el origen del bloqueo o el origen de los intentos fallidos de autenticación.

    Use el cuadro de búsqueda para filtrar eventos para un usuario específico

    En la captura de pantalla anterior, veo que el evento 4740 dice "la cuenta de usuario ha sido bloqueada" y el ordenador de origen es PC1.

    Habrá ocasiones en las que el evento 4740 no muestre el ordenador original. Si esto sucede, puede usar otros eventos registrados para ayudar a solucionar los eventos de cierre de sesión. Por ejemplo, si no hubo ningún evento 4740 en la captura de pantalla anterior, puedo mirar 4771 y ver un intento de autenticación fallido desde un ordenador con una dirección IP de 192.168.100.101.

    Alternativamente, puede desbloquear su cuenta y restablecer su contraseña con una herramienta. La herramienta mostrará todas las cuentas bloqueadas, puede seleccionar una o varias cuentas para desbloquear.

    La herramienta de desbloqueo es parte del kit de herramientas AD Pro. Descargue la versión de prueba gratuita aquí.

    Espero que hayas encontrado útil este artículo. Si tiene alguna pregunta o comentario, hágamelo saber publicando un comentario a continuación.

    Artículos de interés

    Subir