3

Saber desde que equipo se bloquea una cuenta de usuario de Active Directory

Hola a tod@s.

En este post vamos a ver que equipo de nuestra infraestructura de red está bloqueando una cuenta de usuario de Active Directory (AD), seguramente nos hemos encontrado alguna vez que uno de nuestros usuarios nos está avisando continuamente de que su cuenta está bloqueada, sin motivo aparente alguno, es decir, que está cumpliendo las GPO correspondientes a las cuentas de usuario (mínimo número de caracteres, algún carácter especial, mayúsculas, minúsculas, que al tercer inicio de sesión errónea se le bloquee la cuenta, etc…), estos bloqueos continuos de contraseñas se están produciendo porque hay varios intentos fallidos de logon que pueden estar sucediendo por muchos motivos, como por ejemplo, ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…, pues bien, en este post vamos a explicar que equipo de nuestra red está bloqueando ésta cuenta de usuario.

  • Lo primero que vamos a realizar será un logon al sistema con la cuenta de usuario bloqueada:

  • Como podemos ver en nuestro Controlador de Dominio, la cuenta de usuario está bloqueada:

  • Pues bien, ahora lo que queremos saber, es que equipo está bloqueando ésta cuenta, para ello nos abrimos el “Visor de eventos” en nuestro Domain Controller:

  • Aplicamos un filtro a los registros de seguridad de Windows:

  • Lo filtramos por el id. de evento 4740:

  • Una vez filtrado, ya podemos ver más fácilmente, que equipo de nuestra red está bloqueando la cuenta de usuario:

  • Una vez que sabemos el equipo que está produciendo los bloqueos, el siguiente paso sería ir a ese equipo y ver que provoca tantos intentos fallidos de inicios de sesión, que como hemos comentado anteriormente puede ser que ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…

 

Saludos y espero que os sea de ayuda 😉

ragasys

Técnico Superior STI

3 comentarios

  1. Si tienes mas de 1 DC, los registros del Visor de Sucesos no se replican no? Habría que revisar todo los DC para ver en cual está pegando el cliente?
    Saludos.

  2. Estoy teniendo el problema con un usuario, y tengo 4 DC´s, El problema es que como caller machine me aparece uno de los DC (cuando el bloqueo se produce en otro). No entiendo porque todos los registros de este usuario, vienen teoricaente desde este DC. Se te ocurre algo?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.