lunes, 5 de diciembre de 2011

Bloqueo de cuentas Active Directory

En empresas con muchos controladores de dominio y muchos usuarios, nos podemos volver loco cuando se bloquea alguna cuenta de usuario.
Primero identifiquemos que cuentas están bloqueadas, para esto debemos abrir la consola de dsa.msc y dentro de las consultas guardadas o save query y crear una consulta personalizada:

(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1))) 

Nos quedaria como vemos en la siguiente imagen.


Con esto nos saldran todos los usuarios bloqueados que hay en el dominio.



Ya tenemos identificadas las cuentas que estan teniendo problemas en el dominio, ahora queremos averiguar que esta pasando, para eso tenemos que descargarnos las "Account Lockout and Management Tools" e instalarlas.
Una vez realizado esto, ejecutamos el lockoutstatus.exe donde podremos ver que pasa con cada usuario, veremos los atributos de su cuenta en cada controlador y la cantidad de intentos fallidos en cada uno, y la hora exacta del intento.


Si queremos identificar desde donde se esta bloqueando la cuenta de usuario, ejecutamos el EventCombMT.exe y en el menu superior, en "searches" seleccionamos la opcion "Builtin Searches" y Account Lockout. Ponemos el nombre de usuario que queremos buscar y nos creara un fichero de log donde nos aparece desde donde se estan bloqueando las cuentas.




Bueno esto ha sido todo, espero que os sea util!

No hay comentarios:

Publicar un comentario en la entrada