10

Saber desde que equipo se bloquea una cuenta de usuario de Active Directory

Hola a tod@s.

En este post vamos a ver que equipo de nuestra infraestructura de red está bloqueando una cuenta de usuario de Active Directory (AD), seguramente nos hemos encontrado alguna vez que uno de nuestros usuarios nos está avisando continuamente de que su cuenta está bloqueada, sin motivo aparente alguno, es decir, que está cumpliendo las GPO correspondientes a las cuentas de usuario (mínimo número de caracteres, algún carácter especial, mayúsculas, minúsculas, que al tercer inicio de sesión errónea se le bloquee la cuenta, etc…), estos bloqueos continuos de contraseñas se están produciendo porque hay varios intentos fallidos de logon que pueden estar sucediendo por muchos motivos, como por ejemplo, ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…, pues bien, en este post vamos a explicar que equipo de nuestra red está bloqueando ésta cuenta de usuario.

  • Lo primero que vamos a realizar será un logon al sistema con la cuenta de usuario bloqueada:

  • Como podemos ver en nuestro Controlador de Dominio, la cuenta de usuario está bloqueada:

  • Pues bien, ahora lo que queremos saber, es que equipo está bloqueando ésta cuenta, para ello nos abrimos el “Visor de eventos” en nuestro Domain Controller:

  • Aplicamos un filtro a los registros de seguridad de Windows:

  • Lo filtramos por el id. de evento 4740:

  • Una vez filtrado, ya podemos ver más fácilmente, que equipo de nuestra red está bloqueando la cuenta de usuario:

  • Una vez que sabemos el equipo que está produciendo los bloqueos, el siguiente paso sería ir a ese equipo y ver que provoca tantos intentos fallidos de inicios de sesión, que como hemos comentado anteriormente puede ser que ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

10 comentarios

  1. Si tienes mas de 1 DC, los registros del Visor de Sucesos no se replican no? Habría que revisar todo los DC para ver en cual está pegando el cliente?
    Saludos.

  2. Estoy teniendo el problema con un usuario, y tengo 4 DC´s, El problema es que como caller machine me aparece uno de los DC (cuando el bloqueo se produce en otro). No entiendo porque todos los registros de este usuario, vienen teoricaente desde este DC. Se te ocurre algo?

  3. Consulta amiguo, como puedo saber la direccion del equipo que está haciendo la llamada?

  4. si quiere saber la direeción ip… Se le hace un ping por cmd al nombre del host y ya… es todo.

  5. Que pasa si no aparece el nombre del equipo que esta bloqueando, hay otra forma de solucionar el problema

  6. Hola, me aparece vacio donde tiene que salir el nombre del equipo. Como puedo hacer para obtenerlo? Gracias

  7. Buenas observaciones he probado todos los pasos y veo el nombre del equipo que bloquea la cuenta, existe lo que se llama visor de eventos y alli seleccionas lo que deseas hay eventos de seguridad, de aplicaciones etc lo importante es saber que es lo que queremos hacer y asi seleccionar el evento correspondiente
    saludos:

  8. Me aparece el nombre de mi servidor de Exchange en la llamada, eso a que se refiere?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.