Sådan finder du ud af, hvad der spærrer
en Active Directory-konto

Start din gratis prøveperiode

Active Directory (AD)-brugere, der får deres konti spærret, er et almindeligt problem, som sysadmins skal løse næsten hver dag. En smart måde at håndtere dette problem på er at identificere kilden til spærring og afhjælpe den underliggende årsag. Dette er imidlertid både udmattende og tidkrævende, når man skal håndtere et stort antal spærrede brugere og finde kilden til hver enkelt spærring. Nedenfor kan du se, hvordan du finder ud af, hvad der spærrer en AD-konto.

Find ud af, hvad der spærrer en AD-konto, med indbygget overvågning

Trin til at aktivere overvågning med Group Policy Management Console

Udfør følgende handlinger på domænecontrolleren (DC):

Åbn Startmenuen. Søg efter og åbn Group Policy Management Console (GPMC). Du kan også køre kommandoen gpmc.msc.

Sådan finder du ud af, hvad der spærrer en Active Directory-konto

Højreklik på det domæne eller den organisationsenhed (OU), hvor du vil overvåge kontospærring, klik på Opret et GPO i dette domæne, og Tilknyt det her.

Bemærk: Hvis du allerede har oprettet et GPO, så klik på Tilknyt et eksisterende GPO.

Giv GPO'et et navn.
Højreklik på GPO'et, og vælg Rediger.

I venstre rude i Group Policy Management Editor skal du navigere til Computerkonfiguration > Politikker > Windows-indstillinger > Sikkerhedsindstillinger > Avanceret konfiguration af overvågningspolitik > Overvågningspolitikker > Kontoadministration.

I højre rude ser du en liste over politikker under Kontoadministration. Dobbeltklik på Overvåg brugerkontoadministration, og marker afkrydsningsfelterne Konfigurer følgende overvågningshændelser, Vellykketog Mislykket.

Klik på Anvend og derefter på OK.
Gå tilbage til Group Policy Management Console. Højreklik i venstre rude på det domæne eller den OU, som GPO'et var knyttet til, og klik på Opdatering af gruppepolitik. Dette trin sikrer, at de nye gruppepolitikindstillinger anvendes med det samme i stedet for at vente på den næste planlagte genopfriskning.

Trin til at se de loggede hændelser i Logbogen

Når ovenstående trin er gennemført, logføres hændelserne i hændelsesloggen. De kan ses i Logbogen ved at følge nedenstående trin:

Åbn Startmenuen, søg efter Logbog, og klik for at åbne den.
I venstre rude i Logbogsvinduet skal du navigere til Windows-logfiler > Sikkerhed. Her finder du en liste over alle de sikkerhedshændelser, der er logget i systemet.

I højre rude under Sikkerhed skal du klikke på Filtrer aktuel log.

I pop op-vinduet skal du indtaste 4740 i feltet <Alle hændelses-ID'er>.
Klik på OK. Dette viser en liste over forekomster af det hændelses-ID, du har indtastet.
Dobbeltklik på hændelses-ID'et for at se dets egenskaber (beskrivelse).

I beskrivelsen af hændelsen vises navnet på den kaldende computer.

For at udføre en mere detaljeret analyse af årsagen til denne spærring skal du udføre følgende handlinger på domænecontrolleren:

I Logbogen skal du filtrere den aktuelle visning for at se efter hændelses-ID 4625, som logges, når der er et mislykket login.

I højre rude i Logbogsvinduet skal du klikke på Find , indtaste navnet på den spærrede bruger og klikke på Find næste.

Se efter en hændelse, der blev logget efter kontospærringen, og se dens egenskaber.

Rul ned til Navn på kaldende proces. Dette vil vise dig placeringen af den proces, der muligvis forårsagede spærringen.

I ovenstående tilfælde blev kontospærringen kaldt af processen java.exe.

Denne proces kræver en stor indsats, selv for bare én slutbruger. At udføre denne analyse på et stort antal slutbrugere ville være tidkrævende, upraktisk og ineffektivt.

Med ADAudit Plus kan du udføre en grundig analyse af alle de mulige kilder til spærringen med et enkelt klik med den indbyggede analyse af kontospærring.

Download en 30-dages gratis prøveperiode

Find ud af, hvad der spærrer AD-konti, med ManageEngine ADAudit Plus

Når overvågningspolitikkerne nævnt i det foregående afsnit er aktiveret, skal du følge disse trin:

Download og installer ADAudit Plus.
Find trinnene til at konfigurere overvågning på din domænecontroller her.
Åbn konsollen, og naviger til Rapporter > Active Directory > Brugeradministration -> Analyse af kontospærring.

Dette viser en detaljeret rapport om spærrede konti sorteret efter tid.

Klik på Oplysninger under kolonnen Analysedetaljer for at se de mulige årsager til hver kontospærring.

Analysér forskellige komponenter, der kan være årsag til spærringen, med analyse af kontospærring.

Gamle, cachelagrede legitimationsoplysninger, der bruges af Windows-tjenester, planlagte opgaver eller andre komponenter kan forårsage disse spærringer.

Analysér forskellige komponenter, der kan være årsag til spærringen, med analyse af kontospærring.
Gamle, cachelagrede legitimationsoplysninger, der bruges af Windows-tjenester, planlagte opgaver eller andre komponenter kan forårsage disse spærringer.

Fordele ved ADAudit Plus i forhold til indbygget overvågning

Se rapporter om alle ændringer af AD-objekter, så du har et vandtæt revisionsspor.
Få straksunderretninger om usædvanlig brugeraktivitet, og automatiser reaktionerne på disse underretninger med det indbyggede system til analyse af brugeradfærd.
Bevis overholdelse af IT-forskrifter som SOX, HIPAA, GLBA, PCI DSS, FISMA og GDPR med compliancerapporter klar til brug.