Cómo encontrar la fuente de un bloqueo de cuenta en Active Directory

En esta publicación, aprenderá cómo encontrar la fuente de bloqueo de cuentas en Active Directory.

Le mostraré dos métodos: el primero usa PowerShell y el segundo es una herramienta de interfaz gráfica que creé que hace que sea muy fácil desbloquear cuentas de usuario y encontrar la fuente del bloqueo.

El bloqueo de las cuentas de los usuarios es un problema común, es uno de los principales atractivos del servicio de soporte.

Lo que es molesto es cuando desbloqueas la cuenta de un usuario y continúa bloqueándose aleatoriamente. El usuario puede iniciar sesión en múltiples dispositivos (teléfono, ordenador, aplicación, etc.) y si cambia su contraseña, causará problemas de bloqueo constantes.

Esta guía lo ayudará a rastrear la fuente de estos bloqueos.

Echale un vistazo:

Índice

Videotutorial

Si no le gustan los tutoriales en video o desea obtener más información, siga leyendo las instrucciones a continuación.

Método 1: use PowerShell para encontrar la fuente del bloqueo de la cuenta

Tanto PowerShell como la herramienta GUI deben auditarse antes de que los controladores de dominio puedan anotar cualquier información útil.

Paso 1: habilite la auditoría

El ID de evento 4740 debe estar habilitado para que se bloquee cada vez que se bloquee al usuario. Este ID de evento contendrá el ordenador de bloqueo original.

1. Abra la Consola de administración de políticas de grupo. Esto puede ser desde un controlador de dominio o cualquier ordenador en la que estén instaladas las herramientas RSAT.

2. Cambiar la política del controlador de dominio predeterminado

Vaya a la Política de controladores de dominio predeterminados, haga clic con el botón derecho y seleccione editar.

3. Cambiar la configuración de la política de auditoría extendida

Vaya a Configuración del ordenador -> Configuración de seguridad -> Configuración avanzada de políticas de auditoría -> Políticas de auditoría -> Administración de cuentas

Incluya el éxito y el fracaso de la política "Comprobar el control de cuentas de usuario".

La auditoría ahora está habilitada y el evento 4740 se registrará en los registros de eventos de seguridad si la cuenta está bloqueada.

Paso 2: busque el controlador de dominio con la función de emulador de PDC

Si tiene un controlador de dominio (qué vergüenza), entonces puede ir al siguiente paso... esperemos que tenga al menos dos DC.

DC con la función de emulador de PDC registrará cada bloqueo de cuenta con el ID de evento 4740.

Para encontrar el controlador de dominio que tiene la función PDCEmulator, ejecute este comando de PowerShell

get-addomain | select PDCEmulator

Paso 3: busque el ID de evento 4740 con PowerShell

Todos los detalles necesarios se encuentran en el evento 4740. Ahora que sabe qué DC actúa como pdcemulator, puede filtrar los registros para ese evento.

En DC, que actúa como un PDCEmulator, abra PowerShell y ejecute este comando

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}

Esto buscará los registros de eventos de seguridad para el evento ID 4740. Si tiene una cuenta bloqueada, debe crear una lista similar a la siguiente.

Utilice este comando para mostrar los detalles de estos eventos y obtener el origen del bloqueo.

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl

Esto mostrará el nombre del ordenador del suscriptor con el candado. Esta es una fuente de bloqueo de la cuenta de usuario.

También puede abrir el registro de eventos y filtrar eventos para 4740

Esto es para el método 1.

Aunque este método funciona, requiere algunos pasos manuales y puede llevar mucho tiempo. También puede tener empleados que no estén familiarizados con PowerShell y necesiten realizar otras funciones, como desbloquear o restablecer una cuenta de usuario.

Es por eso que creé una herramienta con una GUI de desbloqueo de usuario de Active Directory. Esta herramienta permite a los empleados encontrar muy fácilmente todos los usuarios bloqueados y el origen de las cuentas bloqueadas.

Consulte los siguientes pasos para usar la herramienta de desbloqueo de GUI.

Método 2: use la herramienta de desbloqueo de usuario de la GUI para encontrar la fuente del bloqueo de la cuenta

Creé esta herramienta para que sea muy fácil para cualquier empleado desbloquear cuentas, restablecer contraseñas y encontrar una fuente para bloquear cuentas. También tiene algunas características adicionales para ayudarlo a encontrar la fuente del bloqueo.

Al igual que PowerShell, esta herramienta requiere que la auditoría esté habilitada para administrar cuentas. Consulte los pasos anteriores para habilitar estos registros de auditoría.

Paso 1. Abra el kit de herramientas AD Pro, haga clic en Desbloqueo de usuario

Puede descargar una versión de prueba gratuita aquí.

Paso 2. Seleccione Solución de problemas con bloqueo

Seleccione "Solucionar problemas de bloqueo" y haga clic en "Ejecutar".

Ahora tendrá una lista de eventos que mostrarán el origen del bloqueo o el origen de los intentos fallidos de autenticación.

Use el cuadro de búsqueda para filtrar eventos para un usuario específico

En la captura de pantalla anterior, veo que el evento 4740 dice "la cuenta de usuario ha sido bloqueada" y el ordenador de origen es PC1.

Habrá ocasiones en las que el evento 4740 no muestre el ordenador original. Si esto sucede, puede usar otros eventos registrados para ayudar a solucionar los eventos de cierre de sesión. Por ejemplo, si no hubo ningún evento 4740 en la captura de pantalla anterior, puedo mirar 4771 y ver un intento de autenticación fallido desde un ordenador con una dirección IP de 192.168.100.101.

Alternativamente, puede desbloquear su cuenta y restablecer su contraseña con una herramienta. La herramienta mostrará todas las cuentas bloqueadas, puede seleccionar una o varias cuentas para desbloquear.

La herramienta de desbloqueo es parte del kit de herramientas AD Pro. Descargue la versión de prueba gratuita aquí.

Espero que hayas encontrado útil este artículo. Si tiene alguna pregunta o comentario, hágamelo saber publicando un comentario a continuación.

Artículos de interés

Subir