Cómo encontrar el origen de un bloqueo de cuenta usando PowerShell y ADAudit Plus

Uno de los mayores desafíos de los administradores de TI es rastrear el origen del bloqueo de una cuenta. Siempre puede obtener esta información usando Windows PowerShell, pero eso sería un proceso complicado. Alternativamente, puede utilizar una herramienta integral de auditoría de AD como ADAudit Plus para lograr este objetivo.

En este artículo se compara cómo puede rastrear el origen de un bloqueo de cuenta mediante Windows PowerShell y ADAudit Plus:

PowerShell

Pasos para obtener el origen de un bloqueo de cuenta con PowerShell:

Identifique el dominio del que desea recuperar el informe.
Identifique los atributos LDAP que necesita para obtener el informe.
Identifique el controlador de dominio principal para recuperar el informe.
Compile el script.
Ejecútelo en Windows PowerShell.
El informe se exportará en el formato dado.
Para obtener el informe en un formato diferente, modifique el script de acuerdo con las necesidades del usuario.

Ejemplo de script de Windows PowerShell:

#requires -Módulo ActiveDirectory
    #Import-Módulo ActiveDirectory -EA Stop
    Function Get-AccountLockoutStatus {
        [CmdletBinding()]
        param(
            [Parameter(
            ValueFromPipeline=$true,
            ValueFromPipelineByPropertyName=$true,
            Position=0)]
            [string[]]
            $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
            [Parameter()]
            [string]
            $Username,
            [Parameter()]
            [int]          
            $DaysFromToday = 3     
        )
         BEGIN {
            $Object = @()
        }
        PROCESS {
            Foreach ($Computer en $ComputerName) {
                try {
                    $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date). AddDays(-$DaysFromToday)} -EA 0
                    Foreach ($Event en $EventID) {
                        $Properties = @{Computername = $Computer
                                        Time = $Event.TimeCreated
                                        Username       = $Event.Properties.value[0]
                                        CallerComputer = $Event.Properties.value[1]
                                        }
                        $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                    }
     
                } catch {
                    $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                        
                } finally {
                    if ($Username) {
                            Write-Output $Object | Where-Object {$_.Username -eq $Username}
                        } else {
                            Write-Output $Object
                    }
                    $Object = $null
                }
            }   
        }     
        END {}
    }

Copiado

Haga clic para copiar todo el script

ADAudit Plus

Para obtener el informe,

Inicie sesión en la consola web de ADAudit Plus.
Vaya a Reports -> User Management -> Account Lockout Analyzer
En el menú desplegable "Domain", seleccione el dominio requerido o seleccione "All Domains".
Utilice la opción "Buscar" para filtrar por nombres de usuario específicos, o controlador de dominio, si es necesario.
Obtenga una lista de todos los bloqueos de cuentas durante un período de tiempo de su elección.
Seleccione "Analyzer Details" para obtener detalles granulares sobre el origen de un bloqueo en particular.
Revisa los resultados que le da ADAudit Plus: Un análisis de los distintos componentes que podrían ser el origen de un bloqueo de cuenta.

A continuación se muestran las limitaciones del uso de PowerShell para realizar un seguimiento del origen de un bloqueo de cuenta:

Podemos ejecutar este script solo desde las computadoras que tienen el rol de Servicios de dominio de Active Directory.
Para cambiar los formatos de fecha, aplicar diferentes zonas horarias en los resultados y exportar el informe en diferentes formatos, se debe modificar el script.
La aplicación de más filtros, como "Durante el horario comercial", aumentará la complejidad de las consultas LDAP.

Por otro lado, ADAudit Plus escaneará rápidamente todos los DC del dominio para recuperar información sobre el origen probable de un bloqueo de cuenta en forma de un informe intuitivo. Los administradores de TI pueden utilizar esta información para investigar y resolver el problema.

Evite secuencias de comandos PowerShell complejas y simplifique la auditoría de cambios de AD con ADAudit Plus.
Al hacer clic en 'Obtén tu prueba gratuita', aceptas el procesamiento de datos personales de acuerdo con la Política de privacidad.
Thanks!
Your download is in progress and it will be completed in just a few seconds! If you face any issues, download manually here.

Auditorias de Active Directory

Auditoría de archivos de Windows

Auditoría de archivos de dispositivos NAS

Auditoría de servidores Windows

Auditoría de puestos de trabajo

Auditoría de Azure AD

Todas las funciones →

Documentación

Zona de Videos

Folletos de productos

Casos de estudio