Finden Sie heraus, warum ein Benutzer in Active Directory gesperrt ist

Das Konto eines Benutzers wird in Active Directory weiterhin gesperrt. Dies wird wahrscheinlich durch eine App verursacht, die die Windows-Authentifizierung verwendet, um eine Verbindung zu SQL Server herzustellen.

Gibt es eine Möglichkeit herauszufinden, welche App dies verursacht und warum die App möglicherweise fehlgeschlagene Anmeldeversuche verursacht?

Sehen Sie sich die Tools zur Kontosperrung und -verwaltung im Microsoft Download Center an. Insbesondere LockoutStatus.exe und EventCombMT.exe. Möglicherweise können Sie nicht genau bestimmen, woher die Sperre stammt, aber Sie sollten sie ein wenig eingrenzen können, um sie besser erkennen zu können.

Hier sind ein paar mehr Technet Artikel Das könnte helfen:
Wartung und Überwachung
Kontosperrungskontosperrungs Werkzeuge (Beschreibung der Werkzeuge im Download verknüpft oben)
Mit der Netlogon.dll geprüft Kontosperrungen verfolgen
Aktivieren der Debugprotokollierung für den Anmeldedienst

Grundsätzlich benötigen Sie folgende Informationen

1. Von welchem ​​Computerkonto wird gesperrt?
2. Welcher Prozess oder welche Aktivität auf diesem Computer ist an der Sperrung beteiligt?

Wenn Sie zuerst nach dem Sperren des Kontos suchen möchten, rufen Sie den primären Domänencontroller Ihrer Domäne auf und suchen Sie im Sicherheitsprotokoll nach der Ereignis-ID 644 , die den Namen des Anrufercomputers angibt. Notieren Sie den Computernamen und die Uhrzeit, zu der das Ereignis generiert wurde.

Um einen Prozess oder eine Aktivität zu finden, rufen Sie den in der obigen Ereignis-ID angegebenen Computer auf, öffnen Sie das Sicherheitsprotokoll und suchen Sie nach der Ereignis-ID 529 mit Details zum gesperrten Konto. In diesem Fall finden Sie den Anmeldetyp, der Ihnen mitteilen soll, wie das Konto versucht, sich zu authentifizieren.

Ereignis 529 Details

Ereignis 644 Details

Ich arbeite jetzt seit ungefähr 4 Jahren am Service Desk. Wenn keine der oben genannten Lösungen Ihre Sperrprobleme behebt, platzieren Sie den betroffenen Benutzer in einem Abschnitt von AD "Gruppenrichtlinie nicht angewendet" (um den Zugriff auf das Control Panel von seinem Konto aus zu ermöglichen). und veranlassen Sie sie, sich anzumelden und zum Kontrollfeld zu wechseln, nach Anmeldeinformationen zu suchen und dann auf "Anmeldeinformationen" zu klicken. Was dabei herauskommt, sind alle auf dem Computer gespeicherten Anmeldeinformationen (normalerweise gibt es eine, die veraltet oder falsch ist). Entfernen Sie alle Eingaben aus dem "Tresor", um das Problem ohne weitere Probleme zu lösen. Der einzige Nebeneffekt ist, dass der Benutzer seine Anmeldeinformationen bei der nächsten Verwendung der Anwendung erneut eingeben muss. Hoffe, das hilft einigen der Leute da draußen

Ein Schüler in einer PowerShell-Klasse stellte mir eine ähnliche Frage. Er musste wissen, wie er den Kunden finden konnte, für den Konten gesperrt wurden. Wir haben die Antwort mit einer Kombination aus Auditing und PowerShell gefunden. Unten finden Sie einen Link zu den Anweisungen und dem Code.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html

Dieses Thema ist zu alt, aber ich wollte nur ein hilfreiches Tool teilen, wenn jemand das gleiche Problem hat, liest dieser Thread in Zukunft.

Lockout Fixer ist ein kostenloses Tool, mit dem Sie schnell feststellen können, woher die ungültigen Anmeldeinformationen stammen. Sie können Lockout Fixer herunterladen

Sobald Sie die Quell-Workstation mit dem obigen Tool gefunden haben, dürfte es nicht mehr einfach sein, herauszufinden, welche Anwendung das Problem verursacht ...

Überprüfen Sie auch die Dienste, geplanten Aufgaben, gespeicherten Netzwerkkennwörter, Browser-Kennwörter, zugeordneten Netzwerklaufwerke usw.