Il arrive qu’un compte se vérouille sans qu’on ne puisse trouver facilement l’origine.
Pour cela, on peut suivre ce tuto
https://blog.krissmilne.tech/active-directory/troubleshooting-account-lockout
Account logon status va permettre d’identifier le DC qui vérouille le compte et via l’évènement 4740 sur ce DC dnas le journal de sécurité, on va pouvoir trouver quel est le compte machine depuis lequel le compte tente de s’authentifier.
L’évènement 4625 est présent lorsqu’une erreur de mot de passe à lieu sur la machine ou l’erreur à eu lieu. Elle sera présente sur les DC pour les comptes d’administration de DC. Elle sera présente sur les postes de travail pour les connexions des utilisateurs.
=> Ce n’est pas la peine de chercher un évènement comme quoi un utilisateur lambda s’est trompé dans son mot de passe sur les journaux de sécurité d’un DC car cela sera consigné sur le poste client.
L’évènement 4740 est présent lorsqu’un compte est vérouillé. Si l’audit est laissé par défaut, l’évènement est bien présent. Toutefois, si l’audit avancé via GPO a été activé toutes les stratégies d’audit en place par défaut sont à reconfigurés via l’audit avancé.
3) Après analyse en maquette, l’outil lockout status se contente de lire l’AD. Il lit les attributs du compte utilisateur. Il est donc indépendant de l’audit windows.
Si jamais il n’y a pas le nom de la machine dans la colone associée, il est nécessaire d’activer le debut netlogon.
Pour cela, ouvrir une invite de commande en tant qu’administrateur sur le PDC
Nltest /DBFlag:2080FFFF
net stop netlogon
net start netlogon
On retrouve alors le fichier netlogon.log dans c:\windows\debug
Pour désactiver les logs netlogon il faut ensuite exécuter les commandes suivantes
Nltest /DBFlag:0x0
net stop netlogon
net start netlogon
le code 0xC000006A est inscrit dans toutes les lignes ou une erreur de mot de passe a eu lieu. Il suffit donc de filtrer les lignes pour trouver les informations nécessaires.
Publicités
