Hola a tod@s.
En este post vamos a ver que equipo de nuestra infraestructura de red está bloqueando una cuenta de usuario de Active Directory (AD), seguramente nos hemos encontrado alguna vez que uno de nuestros usuarios nos está avisando continuamente de que su cuenta está bloqueada, sin motivo aparente alguno, es decir, que está cumpliendo las GPO correspondientes a las cuentas de usuario (mínimo número de caracteres, algún carácter especial, mayúsculas, minúsculas, que al tercer inicio de sesión errónea se le bloquee la cuenta, etc…), estos bloqueos continuos de contraseñas se están produciendo porque hay varios intentos fallidos de logon que pueden estar sucediendo por muchos motivos, como por ejemplo, ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…, pues bien, en este post vamos a explicar que equipo de nuestra red está bloqueando ésta cuenta de usuario.
- Lo primero que vamos a realizar será un logon al sistema con la cuenta de usuario bloqueada:
- Como podemos ver en nuestro Controlador de Dominio, la cuenta de usuario está bloqueada:
- Pues bien, ahora lo que queremos saber, es que equipo está bloqueando ésta cuenta, para ello nos abrimos el “Visor de eventos” en nuestro Domain Controller:
- Aplicamos un filtro a los registros de seguridad de Windows:
- Lo filtramos por el id. de evento 4740:
- Una vez filtrado, ya podemos ver más fácilmente, que equipo de nuestra red está bloqueando la cuenta de usuario:
- Una vez que sabemos el equipo que está produciendo los bloqueos, el siguiente paso sería ir a ese equipo y ver que provoca tantos intentos fallidos de inicios de sesión, que como hemos comentado anteriormente puede ser que ese usuario está asociado a algún servicio, hay alguna unidad de red mapeada con ese usuario y la contraseña no es la correcta, alguna aplicación tiene asociada ésta cuenta, etc…
Saludos y espero que os sea de ayuda 😉