Решаем проблему внезапной блокировки учетной записи::Журнал СА 11.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6404
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7109
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4389
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3880
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3895
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3231
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3526
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7358
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10721
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14092
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9191
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5444
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4681
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3209
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3448
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3089
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Решаем проблему внезапной блокировки учетной записи

Архив номеров / 2009 / Выпуск №11 (84) / Решаем проблему внезапной блокировки учетной записи

Рубрика: Администрирование /  Продукты и решения

 МИХАИЛ ДАНЬШИН, эксперт в области ИТ. Специализируется на Exchange и смежных технологиях. Ведет блог (http://danshin.ms), выступает на конференциях и в MCP-клубе.Награжден премией Microsoft MVP

Решаем проблему
внезапной блокировки учетной записи

Доводилось ли вам сталкиваться с тем, что пользователи не могут войти в компьютер? Что же делать, если учетная запись существует, она не отключена, да еще и пароль правильный?

Иногда возникают ситуации, когда при попытке входа в компьютер пользователь получает сообщение:

Unable to log you on because your account has been locked out, please contact
your administrator                                                           

Это уведомление говорит о том, что акаунт заблокирован (locked). Это не то же самое, что отключен (disabled). В первом случае учетная запись нейтрализуется на некоторое время, и это происходит автоматически, без участия администратора. А во втором отключается системным администратором вручную.

Оказалось, что данная тема актуальна до сих пор. И мне постоянно приходится отвечать на вопросы не только начинающих, но и опытных администраторов.

Сообщение о блокировке учетной записи выглядит, как показано на рис 1.

Сообщение об ошибке, которое получает пользователь с заблокированной учетной записью

Рисунок 1. Сообщение об ошибке, которое получает пользователь с заблокированной учетной записью

Природа этого явления заключается в том, что было предпринято несколько попыток ввода неверного пароля. В домене вы можете настроить групповую политику, которая будет регламентировать количество попыток ввода паролей и время, на которое акаунт будет заблокирован. В случае если правильный пароль не будет введен, акаунт будет заблокирован, а пользователь получит уведомление, как показано выше, на рис. 1.

Для того чтобы определить политику, запустите Group Policy Management Consoleю. По умолчанию политика выглядит так, как показано на рис. 2.

Политика Account Lockut Policy по умолчанию

Рисунок 2. Политика Account Lockut Policy по умолчанию

Предположим, что вы хотите ограничить количество неправильных вводов пароля пятью попытками, а потом блокировать акаунт на 30 минут. Для этого вам нужно отредактировать Default Domain Policy (помним, что политики паролей в доменах Win 2003 применяются к уровню домена). Выберите Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy. Затем отредактируйте параметры групповой политики. Значение параметров:

  • Account lockout duration – определяет время, на которое акаунт будет заблокирован.
  • Account lockout threshold – определяет количество попыток ввода, после которого акаунт будет заблокирован.
  • Reset account lockout counter after – определяет время, по истечении которого будет сброшен счетчик попыток. Например, если вы определили, что после пяти попыток акаунт будет заблокирован, а сделали только две попытки входа, а потом, например, ушли пить чай, то по истечении этого установленного времени счетчик обнулится, и у вас опять будет пять попыток.

Попробуйте изменить любой из параметров, и система предложит вам оптимальные с ее точки зрения значения остальных параметров (см. рис. 3).

Значения, которые предлагает система

Рисунок 3. Значения, которые предлагает система

Вы можете согласиться, а потом при необходимости изменить их по своему усморению. Например, если вы установите значение параметра Account lockout threshold, соответствющее 5, а затем нажмете OK, то система предложит вам 30-минутное значение для остальных параметров, как показано на рис. 3.

После того как политика будет определена, вы можете известить ваших пользователей о том, что после того как они введут неверный пароль несколько раз, их учетная запись будет заблокирована (locked). Чтобы снять блокировку, нужно снять галочку Account is locked out в свойствах пользователя, как показано на рис. 4.

Account is locked out в свойствах пользователя

Рисунок 4. Account is locked out в свойствах пользователя

Иногда блокировка акаунта происходит без видимых причин. И несмотря на то что блокировка так просто снимается, в некоторых случаях это не решает проблему. Через некоторое время пользователь может обнаружить, что его учетная запись опять заблокирована.

Причин тому может быть несколько, и я опишу их далее. Иногда определить причины бывает довольно сложно. Основная сложность в определении компьютера, с которого происходят попытки ввода неверных паролей.

В журнале безопасности для отслеживания подобных событий существует запись с кодом 680 от источника Security категории Account Logon. В этой записи (см. рис. 5) показана информация о том, в какое время и с какого компьютера была предпринята попытка ввода неверного пароля. Конечно, есть способ реагировать на событие немедленно. Я писал о нем в статье «Как отреагировать на событие?» [1].

Вид сообщения из «Журнала Событий»

Рисунок 5. Вид сообщения из «Журнала Событий»

Если вы отслеживаете появления подобных записей и своевременно реагируете на них, то определить источник проблемы будет просто. Но, как правило, таких записей может быть огромное множество. И никто не реагирует на них немедленно, а расследует инцеденты потом.

Пользователи часто ошибаются с вводом пароля. И не существует простого способа определить точное время того, когда акаунт был заблокирован. Как правило, мы узнаем об этом через некоторое время от самого пользователя.

В решении проблемы нам может помочь утилита Microsoft Account Lockout Status, которая входит в пакет утилит Account Lockout and Management Tools. Получить этот пакет можно на сайте Microsoft3. Утилита была выпущена еще в 2003 году. Удивительно, что спустя много лет она все еще востребована.

Принцип работы утилиты заключается в том, что она анализирует журналы событий на всех контроллерах домена в сети и определяет, на каком контроллере произошла блокировка, в какое время, а также предоставляет дополнительную информацию, которая может помочь нам в расследовании.

Также утилита может помочь снять блокировку с учетной записи и многое другое.

Чтобы приступить к работе с утилитой, вам нужно запустиь файл LockoutStatus.exe. Когда программа запустится, выберите меню File, а затем Select Target. В появившемся диалоговом окне (см. рис. 6) в поле Target User Name введите имя пользователя, у которого возникает проблема с учетной записью, а в поле Target Domain Name введите имя домена, в котором находится учетная запись пользователя.

Окно ввода данных о пользователе, учетная запись которого блокируется

Рисунок 6. Окно ввода данных о пользователе, учетная запись которого блокируется

Обратите внимание на галочку – Use Alternate Credentials. В случае если программа запущена с правами обычного пользователя, то, установив эту галочку, вы можете запустить проверку от имени другого пользователя, входящего в группу «Администраторы домена». Если же вы запустили программу от имени пользователя с правами доменного администратора, то устанавливать галку не нужно.

После непродолжительного процесса сбора информации вы увидите результаты работы, в которых будет отражено, на каком контроллере домена была заблокирована запись, в какое время, сколько попыток ввода неверного пароля было предпринято и т.д. Все это показано на рис. 7.

Результат работы программы

Рисунок 7. Результат работы программы

Из меню этой же программы вы можете снять блокировку с учетной записи. Для этого выберите контроллер домена, нажмите правую кнопку мыши и в контекстном меню выбирите Unlock Account (см. рис. 8).

Снимаем блокировку с учетной записи

Рисунок 8. Снимаем блокировку с учетной записи

Это изменение моментально будет реплицировано на все контроллеры домена, и пользователь может тут же повторить попытку входа. Если пользователь забыл пароль, то, выбрав Reset User’s Password, вы можете его сменить.

Иногда возникают ситуации, когда после удачного входа в систему проблема возвращается. Пользователь не может получить доступ к сетевому ресурсу, не может повторно войти в систему и т.д. Причин такого поведения может быть несколько. Я приведу лишь несколько самых популярных из них. Но помните, что универсального решения нет и каждый случай нужно расследовать индивидуально.

Например, в сети может действовать злоумышленник, который пытается подобрать пароль от учетной записи пользователя.

Второй распространённый вариант – это использование одной учетной записи несколькими пользователями одновременно. В этом случае кто-то может постоянно вводить неверный пароль и тем самым мешать работе остальных пользователей.

Начиная расследование, первое, что мы должны установить, – это точное время происшествия. Установив время, мы легко сможем найти запись в журнале безопасности и понять, с какого компьютера в сети производились попытки ввода неверного пароля.

Как видно на рис. 7, программа сообщает нам эти сведения. Надо щелкнуть правой кнопки мыши по контроллеру домена и выбрать в контекстном меню Open Event Viewer (открыть журнал событий). Так как мы теперь знаем точное время, когда была попытка входа, которая привела к блокировке учетной записи, мы без труда сможем найти событие и определить, с какого компьютера было произведено действие, повлекшее блокировку. Проблема решена – виновные наказаны!

Но кроме человеческого фактора, есть еще и другие причины. Пожалуй, самая распространенная причина – это когда вы настраиваете «Назначенное Задание», которое выполняется от имени пользователя, затем меняете пароль этого пользователя, а ваше задание все еще пытается выполнить вход со старым паролем. Естественно, у него это не получается, и акаунт блокируется.

Надеюсь, что после прочтения этой статьи у вас появилась ясность, чем может быть вызвана обозначенная в начале статьи проблема и как ее решить.

  1. http://www.danshin.ms/2008/06/blog-post.html.
  2. http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru