我已经排查这个问题两年了,但问题还是不断出现。我们的 Mac 用户通过运行 Windows Server 2008 Standard 的 Active Directory 服务器进行身份验证。其中一位 Mac 用户经常遇到一个问题,她无法登录,导致她的 AD 帐户在达到最大登录尝试次数之前被锁定。两周前问题再次出现,我重新配置了她的网络和 Active Directory 设置。我以为问题已经解决了,但上周我早早就到了办公室,决定安装 Mac 更新,这需要重新启动。当用户在二十分钟后尝试登录时,她的帐户被锁定。她的安全日志显示此消息“authorizationhost[96] 无法验证用户 (tDirStatus: -14090)。”
尽管我没有对她的电脑做任何事情,并且她在电脑开机 1.5 小时后尝试登录,但今天早上又发生了这种情况。
在我用她的 ID 和密码成功登录后也发生了这种情况,但在我退出后帐户被锁定。
我能想到的唯一尝试连接的是我们 AD PDC 上的 LDAP,但我从未输入任何凭据,也没有其他人遇到这个问题。
所有 Mac 都装有 Snow Leopard 10.6.7,并且都具有相同的网络和 AD 设置,但这台 Mac 仍然存在问题。
答案1
所以,如果我没看错的话,你从来没有亲眼见过这种情况,而且这种情况还在继续发生。有时,就在你离开后立即发生?用户是否有可能存在问题并且永远记不住密码?你有没有查看过控制台,看看到底有多少次登录失败?
AD 不会锁定帐户,除非它在 x 分钟内失败了 x 次(由您的密码策略设置)。如果 Mac 上没有自动/保存的过程导致这种情况,那么剩下的就只有用户了。
答案2
可能是她在 Keychain 中存储了一个旧的或错误的密码。这可能与应用程序、网页或进程相关联,当调用时会导致帐户锁定。我建议检查这一点,并从她的 Keychain 中删除任何包含您的 AD 凭据的条目(甚至任何看起来像它们的条目)。
几年前,我遇到过一个类似的问题。他的账户总是“随机”锁定。我们公司规定密码有效期为 30 天,他在 iPhone 上设置了 Exchange 邮件账户。他按照提示更改了密码,但他的 iPhone 仍然使用旧凭证,每次尝试获取邮件时都会锁定他的账户。
答案3
我不知道 osx 如何与 ldap 配合使用,但当我遇到 osx 的奇怪问题时,我通常可以通过运行来获得线索。plutil您可以尝试在该目录下的 ~/Library/Preferences 中查找用户的 plist 文件中的错误,您可以运行此命令plutil -s *.plist,它会报告这些配置文件中的任何错误。您可以在系统库中执行相同操作。祝您好运。
答案4
我发现导致账户被锁定的两个主要原因(除了用户输入错误密码这个明显原因之外)是:
- 病毒/恶意软件(可能存在于任何机器上)试图使用暴力手段访问帐户。这应该在 Windows 服务器事件日志中显示出来。
- 使用旧密码访问共享资源。当使用非 Windows 计算机通过记住的凭据访问 Windows 资源时,这种情况尤其常见。