Zuhause »

Wie man erkennt, wer ein Benutzerkonto in Active Directory entsperrt hat

Starten Sie Ihre kostenlose Testversion

Eines der häufigsten Probleme, mit denen Active Directory (AD)-Benutzer konfrontiert sind, ist, dass sie sich aus ihren Konten aussperren. Das Entsperren dieser Konten ist eine Aufgabe, für die Administratoren viel Zeit aufwenden müssen. Jedes Konto, das von einem nicht autorisierten Administrator oder einem kompromittierten Administratorkonto entsperrt wird, kann langfristige Folgen für die Sicherheit haben. Aus diesem Grund ist es unerlässlich, jedes Detail hinter Kontoentsperrungsereignissen im Auge zu behalten. Lesen Sie weiter, um zu erfahren, wie Sie herausfinden können, wer ein Benutzerkonto in AD entsperrt hat.

Finden Sie mithilfe von PowerShell heraus, wer ein Benutzerkonto entsperrt hat:

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

  1. Drücken Sie auf Start und suchen Sie nach Windows PowerShell. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen.
  2. Geben Sie das folgende Skript in die Konsole ein: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4767} | Select-Object -Property *
    3. screenshot
  3. Drücken Sie die Eingabetaste.
  4. Dieses Skript zeigt kürzlich freigeschaltete Benutzerkonten an. In der Ausgabe können unter Message → Subject → Account Name der Name und die Sicherheits-ID des Benutzers, der das Konto freigeschaltet hat, eingesehen werden.

Hinweis: Wenn Sie eine Workstation verwenden, führen Sie das folgende Skript in PowerShell aus:

Get-EventLog -LogName Security -ComputerName <DC-Name>| Where-Object {$_.EventID -eq 4767} | Select-Object -Property *

WHERE ist der Name des DC, auf dem das Konto entsperrt wurde.

screenshot

Die oben genannten Schritte sind eine anstrengende und zeitaufwändige Methode, um die Details zu Kontosperrungen abzurufen, aber es gibt eine einfachere Möglichkeit, die gleichen Ergebnisse zu erzielen.

Wir stellen vor: ManageEngine ADAudit Plus, eine umfassende AD-Auditing-Lösung, die integrierte Berichte für kritische Sicherheitsereignisse wie die oben genannten bereitstellt. Sehen Sie sich an, wie ADAudit Plus dies und vieles mehr erledigt, indem Sie eine kostenlose.

30-Tage-Testversion herunterladen

Finden Sie mit ADAudit Plus heraus, wer Benutzerkonten entsperrt hat

  1. Öffnen Sie die ADAudit Plus-Konsole und melden Sie sich als Administrator an.
  2. Navigieren Sie zu Berichte → Active Directory → Benutzerverwaltung → Kürzlich entsperrte Benutzer.
    3. screenshot

Obwohl es möglich ist, mithilfe der nativen Überwachung nach Kontosperrungsereignissen zu suchen, ist dies für Organisationen aufgrund der hohen Anzahl protokollierter Ereignisse im Alltag nicht möglich. ADAudit Plus überwacht Kontosperrungen in Echtzeit und erstellt Berichte über häufig gesperrte und entsperrte Benutzerkonten. Mit dem Tool „Account Lockout Analyzer“ können Sie die Ursache jeder Sperrung ermitteln, indem Sie analysieren, wo die zwischengespeicherten Anmeldeinformationen verwendet wurden, z. B. in geplanten Aufgaben, Windows-Diensten oder anderen Anwendungen.

Befolgen Sie diese bewährten Verfahren, um Kontosperrungen auf ein Minimum zu beschränken.

screenshot

ADAudit Plus verwendet Benutzerverhaltensanalysen (UBA), um eine Basislinie der normalen Benutzeraktivität zu erstellen, und benachrichtigt Sie, wenn ein Benutzer von diesem Verhalten abweicht. Sie können auch sehen, ob Sperrungen außerhalb der Geschäftszeiten aufgetreten sind; diese Erkenntnisse können Ihnen helfen, Brute-Force-Angriffe zu erkennen und kompromittierte Geräte in Ihrem Netzwerk zu finden.

Laden Sie die kostenlose 30-Tage-Testversion herunter

Ist die AD-Überwachung eine Herausforderung für Sie?

  • Überwachen Sie Benutzeranmeldungen
  • Verfolgen Sie Änderungen an GPOs, Benutzern usw.
  • Finden Sie heraus, wer was, wann und wo getan hat

Verwandte How-Tos

 
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products