Cómo encontrar lo que se está bloqueando 
una cuenta de directorio activo

Descubra qué está bloqueando una cuenta AD mediante la auditoría nativa

Pasos para habilitar la auditoría utilizando GPMC

Realice las siguientes acciones en el controlador de dominio (DC):

1. Abra el menú de Inicio. Busque y abra la Consola de administración de políticas de grupo (GPMC, Group Policy Management Console). También puede ejecutar el comando gpmc.msc.

2. Haga clic con el botón derecho en el dominio o unidad organizativa (OU) donde desea auditar los bloqueos de cuentas y haga clic en Crear una GPO en este dominio y vincularla aquí.

Nota: Si ya creó una GPO, haga clic en Vincular una GPO existente.

3. Asigne un nombre a la GPO.
4. Haga clic derecho en la GPO y elija Editar.

5. En el panel izquierdo del Editor de administración de directivas de grupo, navegue hasta Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Directivas de auditoría > Administración de cuentas.

6. En el panel derecho, verá la lista de directivas en Administración de cuentas. Haga doble clic en Auditar gestión de cuentas de usuario y marque las casillas etiquetadas Configurar los siguientes eventos de auditoría, Éxitoy Fallo.

7. Haga clic en Aplicar y luego en Aceptar.
8. Regrese a la Consola de administración de directivas de grupo. En el panel izquierdo, haga clic con el botón derecho en el dominio o la unidad organizativa a la que estaba vinculado la GPO y haga clic en Actualización de directiva de grupo. Este paso garantiza que la nueva configuración de la directiva de grupo se aplique instantáneamente en lugar de esperar la próxima actualización programada.

Pasos para ver los eventos registrados en el Visor de eventos

Una vez que se completen los pasos anteriores, los eventos se registrarán en el registro de eventos. Estos se pueden ver en el Visor de eventos siguiendo los pasos a continuación:

1. Abra el menú Inicio, busque Visor de eventos y haga clic para abrirlo.
2. En el panel izquierdo de la ventana del Visor de eventos, navegue hasta Registros de Windows > Seguridad. Aquí encontrará una lista de todos los eventos de seguridad que se registran en el sistema.

3. En el panel derecho, bajo Seguridad, haga clic en Filtrar registro actual.

4. En la ventana emergente, ingrese 4740 en el campo denominado <Todos los ID de eventos>.
5. Haga clic en Aceptar. Esto proporcionará una lista de apariciones del ID de evento que ingresó.
6. Haga doble clic en el ID del evento para ver sus propiedades (descripción).

En la descripción del evento, se muestra el nombre del equipo que llama.

Para realizar un análisis más detallado de la causa de este bloqueo, realice las siguientes acciones en el DC:

1. En el Visor de eventos, filtre la vista actual para buscar el ID de evento 4625, que se registra cuando hay un inicio de sesión fallido.

2. En el panel derecho de la ventana del Visor de eventos, haga clic en Buscar, ingrese el nombre del usuario que fue bloqueado y haga clic en Buscar siguiente.

3. Busque un evento que se registró después del tiempo de bloqueo de la cuenta y vea sus propiedades.

4. Desplácese hacia abajo hasta Nombre del proceso del que llama. Esto le mostrará la ubicación del proceso que posiblemente causó el bloqueo.

En el caso anterior, el proceso java.exe invocó el bloqueo de la cuenta.

Este proceso requiere mucho esfuerzo incluso para un solo usuario final. Realizar este análisis en un gran número de usuarios finales llevaría mucho tiempo, sería poco práctico e ineficaz.

Con ADAudit Plus, puede realizar un análisis exhaustivo de todas las fuentes posibles del bloqueo con solo un clic utilizando el Analizador de bloqueo de cuentas integrado.