Перейти к содержанию
xck

Постоянная блокировка учетной записи пользователя..

Recommended Posts

xck

Проблема такова - постоянно блокируется учетная запись пользователя... Для этого пользователя создал другую учетную запись, старую удалил спустя несколько дней эта запись тоже стала лочится. Интересно то, что под этим пользователям не устанавливался софт, его данные не прописывались не в каких настройках никакого софта. На домен контроллере, в логах failure audit не могу найти никаких данных касательно этого пользователя... Связанным с неправильным вводом пароля... У нас в настройках определна блокировка учетной записи после неправильного ввода пароля в течении трех раз, возможно это связанно с этим... Но как определить кто пытается подобрать пароль, если причина конечно в этом...?

Как определить почему блокируется уч. запись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Как определить почему блокируется уч. запись.

Причина таких проблем бывает иногда неожиданной, и решение просто. Например: Сервер был недоступен, система спросила у пользователся пароль на доступ к серверу, но пользователь ввёл неправильный пароль и выбрал 'сохранить'.

В таком случае проблема быстро решается вот так:

Пуск - Выполнить - rundll32.exe keymgr.dll,KRShowKeyMgr (+ Enter)

Решение нашёл здесь: http://www.tweakxp.com/article37352.aspx

Если проблема не в этом, то тогда один из вариантов для анализа: пользоваться EventCombMT.

Из материалов Майкрософта на технете (точной ссылки на источник нет). Нашёл здесь:

http://www.oszone.net/4626_2/

Это средство позволяет осуществлять синтаксический разбор и сбор событий из журналов событий на нескольких компьютерах. Оно запускается как многопоточное приложение, позволяющее пользователю указать любое количество параметров при сканировании журналов событий, например:

* коды событий (один или несколько),

* диапазоны кодов событий,

* источники событий,

* определённый текст события,

* срок события в минутах, часах или днях.

В средство EventCombMT встроены определённые категории поиска, например блокировки учётных записей, обеспечивающие возможность поиска перечисленных ниже событий.

* 529. Сбой при входе в систему (неправильное имя пользователя или пароль).

* 644. Учётная запись пользователя была автоматически заблокирована.

* 675. Сбой предварительной проверки подлинности в контроллере домена (неправильный пароль).

* 676. Сбой запроса билета проверки подлинности.

* 681. Сбой при входе в систему.

Другим событием, связанным с безопасностью, которое не записывается в файл журнала безопасности, является событие 12294, которое записывается в файл журнала системы. Это событие необходимо добавить во все поисковые запросы, поскольку его можно использовать для обнаружения попыток атак на учётную запись администратора, которая не имеет порогового значения блокировки и поэтому является уязвимой и привлекательной целью для любого потенциального злоумышленника.

Примечание: Событие 12294 отражается как событие диспетчера учётных записей безопасности (Security Accounts Manager, SAM) в системном журнале, а не в журнале безопасности.

EventCombMT может сохранять события в таблицу базы данных Microsoft SQL Server™, что является полезным для долгосрочного хранения и анализа. После сохранения в базу данных SQL Server сведения из журналов событий можно оценить с помощью набора различных программ, например SQL Query Analyzer, Microsoft Visual Studio® .NET или программ сторонних производителей.

Описание (к сожалению-по английски):

http://support.microsoft.com/kb/824209

Загрузка:

http://www.microsoft.com/downloads/details...;displaylang=en

Относится к:

* Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

* Microsoft Windows Server 2003, Standard Edition (32-bit x86)

* Microsoft Windows 2000 Server

Сообщите о результатах. При сомнении, выложите записи из журнала. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck

Спасибо за ответ, решение оказалось протым - незакрытая терминальная сессия на одном из серверов.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×