AD Compte verouillé

Il arrive qu’un compte se vérouille sans qu’on ne puisse trouver facilement l’origine.

Pour cela, on peut suivre ce tuto

https://blog.krissmilne.tech/active-directory/troubleshooting-account-lockout

Account logon status va permettre d’identifier le DC qui vérouille le compte et via l’évènement 4740 sur ce DC dnas le journal de sécurité, on va pouvoir trouver quel est le compte machine depuis lequel le compte tente de s’authentifier.

L’évènement 4625 est présent lorsqu’une erreur de mot de passe à lieu sur la machine ou l’erreur à eu lieu. Elle sera présente sur les DC pour les comptes d’administration de DC. Elle sera présente sur les postes de travail pour les connexions des utilisateurs.
=> Ce n’est pas la peine de chercher un évènement comme quoi un utilisateur lambda s’est trompé dans son mot de passe sur les journaux de sécurité d’un DC car cela sera consigné sur le poste client.
 
L’évènement 4740 est présent lorsqu’un compte est vérouillé. Si l’audit est laissé par défaut, l’évènement est bien présent. Toutefois, si l’audit avancé via GPO a été activé toutes les stratégies d’audit en place par défaut sont à reconfigurés via l’audit avancé. Il faut que l’audit de gestion des comptes utilisateur soit activé en réussite et échec
3) Après analyse en maquette, l’outil lockout status se contente de lire l’AD. Il lit les attributs du compte utilisateur. Il est donc indépendant de l’audit windows.
 
Si jamais il n’y a pas le nom de la machine dans la colone associée, il est nécessaire d’activer le debut netlogon. Attention, parfois les informations ne sont que dans le journal de sécurité.
Pour cela, ouvrir une invite de commande en tant qu’administrateur sur le PDC
Nltest /DBFlag:2080FFFF 
net stop netlogon
net start netlogon
On retrouve alors le fichier netlogon.log dans c:\windows\debug
Pour désactiver les logs netlogon il faut ensuite exécuter les commandes suivantes
Nltest /DBFlag:0x0 
net stop netlogon
net start netlogon
le code 0xC000006A est inscrit dans toutes les lignes ou une erreur de mot de passe a eu lieu. Il suffit donc de filtrer les lignes pour trouver les informations nécessaires.
Voici un exemple :
08/27 09:25:31 [LOGON] [1820] SCCM: SamLogon: Transitive Network logon of sccm.lan\administrateur from W10-ADMIN (via SCCM-PRI1) Returns 0xC000006A
Publicités

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s