Active Directory 伪造帐户锁定

Active Directory 伪造帐户锁定

我的域中出现一些问题,用户帐户拒绝登录,因为该帐户已被锁定,但在活动目录(用户和计算机)中该帐户并未被标记为被锁定。

例如,今天早上,一位用户打电话说她的帐户被锁定了。我通过远程桌面进入域控制器,但它说我的服务器管理员帐户被锁定了...所以我用我的桌面帐户登录 DC,打开“用户和计算机”面板,首先浏览到我的服务器管理员帐户,它没有被锁定。然后我浏览到用户帐户,它没有被锁定。我注销域控制器并尝试再次使用我的服务器管理员帐户通过远程桌面进入它,它运行正常。现在用户帐户也运行正常。

由于某种原因,这种情况经常发生,而且是随机发生的。“X”帐户无法登录,因为它被“锁定”。打开 AD 发现它没有被锁定,现在“X”帐户正在工作。我曾经遇到过这种情况:我所有的 IT 员工桌面帐户和管理员帐户都被锁定,用户收到通知,要求注销/登录以重新验证他们的帐户,然后,突然间一切都恢复正常……没有一个帐户被锁定,等等。

我在谷歌上搜索解决方案并没有取得太大的成功,所以我现在在这里。:(

我的主要问题是...即使 AD 报告帐户已解锁,是否存在出现“帐户已被锁定”错误消息的情况?

并且..有没有什么方法可以在没有管理员干预的情况下随机锁定和解锁帐户?(假设系统/域没有受到损害)

关于我的 AD 的一些信息:我有一个总部(有 2 个 DC),通过 Cisco VPN 连接到 2 个远程办公室(每个都有自己的 DC),这些办公室位于 AD 站点中定义的不同子网上。它们 (4) 似乎都在复制/正常运行。我从未在任何远程站点遇到过上述问题,只有总部出现过。

答案1

我还没有遇到过帐户被列为解锁且用户遇到帐户锁定问题的情况。但是,如果 DC 不是最新的,则可能会发生这种情况。

遇到此问题的用户是否都在一个 AD 站点内?通常,您的站点内 DC 复制将足够快地发生以避免这些问题。如果您的站点间复制计划太长,并且用户以某种方式被锁定在单独的 AD 站点中,您可能会遇到这种情况。

您是否尝试过查找帐户被锁定的根本原因?您可以使用锁定工具找出错误登录尝试的来源。

答案2

我意识到这已经是几年前的问题了,但是在使用运行 Server 2003 的 DC 时,我经常遇到这个问题。我发现,如果我手动禁用 AD 帐户然后重新启用它,它会清除触发锁定消息的任何隐藏标志。

相关内容