ปลดล็อคบัญชีผู้ใช้ Active Directory

การล็อกบัญชีผู้ใช้ในโดเมนเป็นหนึ่งในเหตุผลที่ได้รับความนิยมมากที่สุดว่าทำไมผู้ใช้ติดต่อทีมสนับสนุนด้านเทคนิค ในกรณีส่วนใหญ่การล็อคเกิดขึ้นโดยผู้ใช้ลืมรหัสผ่านหรือโดยแอปพลิเคชันที่พยายามใช้รหัสผ่าน (บันทึก) ก่อนหน้านี้เพื่อการตรวจสอบความถูกต้องหลังจากผู้ใช้เปลี่ยนไป

สารบัญ:

• นโยบายการล็อกบัญชีใน Active Directory
• วิธีปลดล็อกบัญชีผู้ใช้โดยใช้คอนโซล Active Directory (ADUC)
• ปลดล็อกบัญชีโฆษณาโดยใช้ PowerShell

การล็อกบัญชีผู้ใช้ถูกเปิดใช้งานในนโยบายความปลอดภัยเริ่มต้นของโดเมน Active Directory

โดยทั่วไปแล้วการตั้งค่าการล็อกผู้ใช้จะถูกกำหนดค่าในไฟล์Default Domain PolicyGPO (การกำหนดค่า -> Windows การตั้งค่า -> ความปลอดภัย การตั้งค่า -> บัญชี นโยบาย -> บัญชี การล็อค นโยบาย-- มีสามตัวเลือก:

• บัญชี การล็อค เกณฑ์- จำนวนความพยายามที่ล้มเหลวในการป้อนรหัสผ่านหลังจากนั้นผู้ใช้จะถูกล็อค
• ระยะเวลาการล็อคบัญชี- ระยะเวลาที่ผู้ใช้ยังคงถูกล็อค (ในไม่กี่นาที) จากนั้นผู้ใช้จะถูกปลดล็อคโดยอัตโนมัติ
• รีเซ็ตตัวนับล็อคบัญชีหลังจาก -จำนวนนาทีหลังจากที่ตัวนับล็อกอินล้มเหลวจะถูกรีเซ็ต

การตั้งค่าการล็อกเหล่านี้ใช้กับผู้ใช้โดเมนทั้งหมดยกเว้นกลุ่มที่ได้รับการตั้งค่าการตั้งค่าพิเศษโดยใช้นโยบายรหัสผ่านที่ละเอียด

เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายรหัสผ่านในโฆษณา

Microsoft Security Baselines แนะนำให้ผู้ใช้ควรถูกล็อคหลังจากนั้น10ความพยายามในการเข้าสู่ระบบล้มเหลว สิ่งนี้ถือว่าดีที่สุดสำหรับการป้องกันการโจมตีด้วยรหัสผ่านและการโจมตี DOS และสะดวกสำหรับผู้ใช้ที่มักจะทำผิดพลาดเมื่อป้อนรหัสผ่าน

นโยบายรหัสผ่านเริ่มต้นใน Entra ID (เช่น Azure AD) ล็อคบัญชีผู้ใช้หลังจาก 10 ความพยายามที่ล้มเหลวในการเข้าสู่ระบบ

วิธีปลดล็อกบัญชีผู้ใช้โดยใช้คอนโซล Active Directory (ADUC)

หากบัญชีผู้ใช้ถูกล็อคคุณจะเห็นข้อความด้านล่างเมื่อพยายามเข้าสู่ระบบ Windows:

The referenced account is currently locked out and may not be logged on to.

หากผู้ใช้โดเมนมักจะบ่นว่าบัญชีของพวกเขาถูกล็อคคุณสามารถค้นหาคอมพิวเตอร์และกระบวนการที่ทำให้เกิดการล็อคได้อย่างต่อเนื่องโดยมองหารหัสเหตุการณ์4740และ4625ในบันทึกความปลอดภัยของตัวควบคุมโดเมนหลัก (ดูวิธีการค้นหาแหล่งที่มาของการล็อคบัญชีใน Active Directory)

ผู้ใช้จะไม่สามารถเข้าสู่ระบบ Windows ได้จนกว่าระยะเวลาการล็อคจะหมดอายุหรือผู้ดูแลระบบปลดล็อคบัญชีด้วยตนเอง

คุณสามารถปลดล็อกผู้ใช้โดยใช้ผู้ใช้ Active Directory และคอมพิวเตอร์ (ADUC) คอนโซลกราฟิก:

1. เปิดdsa.mscคอนโซลและค้นหาผู้ใช้โฆษณาที่คุณต้องการปลดล็อค
2. คลิกที่บัญชีแท็บ. หากผู้ใช้ถูกล็อคควรมีข้อความที่นี่Unlock account. This account is currently locked out on this Active Directory Domain Controller-
3. ตรวจสอบตัวเลือกนี้และคลิกตกลงเพื่อบันทึกการเปลี่ยนแปลง
4. บัญชีผู้ใช้ถูกปลดล็อคและอาจใช้ในการเข้าสู่ระบบโดเมน

โดยค่าเริ่มต้นผู้ดูแลระบบโดเมนเท่านั้นที่สามารถปลดล็อกผู้ใช้ในโฆษณา คุณสามารถมอบหมายการปลดล็อคการอนุญาตให้กับผู้ใช้ที่ไม่ใช่ผู้บริหารเพื่อให้สามารถปลดล็อกบัญชีได้

1. คลิกหน่วยองค์กร (OU) ที่มีผู้ใช้ที่คุณต้องการมอบหมายสิทธิ์และเลือกมอบหมายการควบคุม-
2. เลือกกลุ่มผู้ใช้ที่คุณต้องการให้สิทธิ์ (ตัวอย่างเช่น Nyhelpdesk);
3. จากนั้นเลือกสร้างงานที่กำหนดเอง-เฉพาะวัตถุต่อไปนี้ในโฟลเดอร์-วัตถุผู้ใช้-
4. ในรายการสิทธิ์เขียน LockoutTimeกล่อง;
5. ตอนนี้สมาชิกของกลุ่ม Nyhelpdesk สามารถปลดล็อกผู้ใช้ได้

คุณสามารถเปิดใช้งานนโยบายการตรวจสอบที่ช่วยให้คุณทราบว่าใครปลดล็อคบัญชีผู้ใช้:

1. เปิดใช้งานตรวจสอบการจัดการบัญชีผู้ใช้นโยบายในDefault Domain ControllerGPO (การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> การกำหนดค่านโยบายการตรวจสอบขั้นสูง -> นโยบายการตรวจสอบ -> การจัดการบัญชี);
2. จากนั้นคุณสามารถติดตามการปลดล็อกกิจกรรมของผู้ใช้โดยค้นหา EventId4767ในความปลอดภัยเข้าสู่ระบบคอนโทรลเลอร์โดเมน (A user account was unlocked-
3. นอกจากนี้คุณยังสามารถใช้ PowerShell เพื่อค้นหากิจกรรมทาง Event ID:
   Get-WinEvent -FilterHashtable @{logname="Security";id=4767}|ft TimeCreated,Id,Message

เพิ่มขนาดบันทึกการดูเหตุการณ์บนตัวควบคุมโดเมนเพื่อจัดเก็บกิจกรรมเพิ่มเติม

ปลดล็อกบัญชีโฆษณาโดยใช้ PowerShell

คุณสามารถใช้ไฟล์Unlock-ADAccountPowerShell Cmdlet เพื่อปลดล็อกผู้ใช้โฆษณา cmdlet นี้รวมอยู่ในโมดูลโฆษณาสำหรับ Windows PowerShell

การอ่านเพิ่มเติม:

ตรวจสอบว่าผู้ใช้ถูกล็อค (Lockedout = true-

Get-ADUser -Identity j.brion -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

ปลดล็อกผู้ใช้โฆษณาด้วยคำสั่ง:

Unlock-ADAccount j.brion

คุณสามารถใช้ PowerShell เพื่อดูเวลาล็อควันที่เข้าสู่ระบบล่าสุดและวันที่ที่รหัสผ่านของผู้ใช้เปลี่ยนไป:

Get-ADUser j.brion -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,pwdLastSet | Select-Object Name, Lockedout,@{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}

คุณสามารถใช้ cmdlet ที่เพิ่มการค้นหาเพื่อค้นหาผู้ใช้ที่ล็อคทั้งหมดในโดเมน:

Search-ADAccount -UsersOnly -lockedout

ด้วย PowerShell One-Liner อย่างง่ายคุณสามารถปลดล็อกผู้ใช้โดเมนทั้งหมดได้ในครั้งเดียว:

Search-ADAccount -UsersOnly -lockedout| Unlock-ADAccount