Hur man hittar vad som låste ute
ett Active Directory-konto

Hitta vad som låser ute ett AD-konto med hjälp av inbyggd granskning

Steg för att aktivera granskning med hjälp av GPMC

Utför de följande åtgärderna i domänkontrollanten (DC):

1. Öppna menyn Start. Sök efter och öppna Group Policy Management Console (GPMC). Du kan också köra kommandot gpmc.msc.

2. Högerklicka på den domän eller organisationsenhet (OU)där du vill granska kontoutelåsningar och klicka på Skapa en GPO i denna domän och länka den här.

OBS! Om du redan har skapat en GPO klickar du på Länka en befintlig GPO.

3. Namnge GPO.
4. Högerklicka på GPO och klicka på Redigera.

5. I den vänstra rutan i Group Policy Management Editor går du till Datorkonfiguration > Principer > Windows-inställningar > Säkerhetsinställningar > Konfiguration av avancerad granskningsprincip > Granskningsprinciper > Kontohantering.

6. I den högra rutan kommer du att se listan över principer under Kontohantering. Dubbelklicka på Granska hantering av användarkonto och markera rutorna märkta med Konfigurera följande granskningshändelser, Lyckad och Misslyckad.

7. Klicka på Tillämpa och sedan på OK.
8. Gå tillbaka till Group Policy Management Console. I den vänstra rutan högerklickar du på den domän eller OU som GPO var länkad till och klickar på Uppdatering av grupprincip. Detta steg ser till att de nya inställningarna för grupprincip tillämpas direkt i stället för att vänta på nästa schemalagda uppdatering.

Steg för att se loggade händelser loggboken

När stegen ovan har slutförts kommer händelser att loggas i loggboken. Dessa kan visas i loggboken genom att följa stegen nedan:

1. Öppna menyn Start, sök efter Loggbok och klicka för att öppna den.
2. I den vänstra rutan i fönstret Loggbok går du till Windows-loggar > Säkerhet. Här kommer du att hitta en lista över alla säkerhetshändelser som är loggade i systemet.

3. I den högra rutan, under Säkerhet, klickar du på Filtrera nuvarande logg.

4. I popup-fönstret anger du 4740 i fältet märkt som <Alla händelse-ID:n>.
5. Klicka på OK. Detta kommer att ge en lista över förekomster av det händelse-ID som du angav.
6. Dubbelklicka på händelse-ID:t för att se dess egenskaper (beskrivning).

I händelsebeskrivningen visas namnet på den anropande datorn.

Om du vill utföra en mer detaljerad analys av orsaken till denna utelåsning utför du följande åtgärder på DC:

1. I Loggbok filtrerar du den nuvarande vyn för att leta efter Händelse-ID 4625, som loggas när det finns en misslyckad inloggning.

2. I den högra rutan i fönstret Loggbok klickar du på Hitta, anger namnet på användaren som låstes ute och klickar på Hitta nästa.

3. Leta efter en händelse som loggades efter tiden för kontoutelåsning och visa dess egenskaper.

4. Bläddra ner till Namn på anropande process. Detta kommer att visa dig platsen för processen som eventuellt orsakade utelåsningen.

I ovanstående fall anropades kontoutelåsningen av processen java.exe.

Denna process kräver mycket arbete även för bara en slutanvändare. Att utföra denna analys på ett stort antal slutanvändare kommer att vara tidskrävande, opraktiskt och ineffektivt.

Med ADAudit Plus kan du utföra en grundlig analys av alla möjliga källor till utelåsningen med bara ett klick med hjälp av det inbyggda analysverktyget för kontoutelåsning.