Блокировка учетной записи пользователя в домене — одна из наиболее частых причин обращений пользователей в техподдержку. Обычно причиной блокировки является забытый пользователем пароль или приложение, которое пытается использовать старый (сохраненный) пароль для аутентификации после того, как пользователь его сменил.
Политика блокировки пользователей в Active Directory
Функция блокировки учетной записи включена в стандартных настройках политики безопасности домена Active Directory. Обычно параметры политики блокировки пользователей настраиваются в Default Domain Policy GPO в разделе:
Computer Configuration > Windows Settings > Security Settings > Account Policy > Account Lockout Policy
Здесь присутствуют три основных параметра:
— Account lockout threshold — количество неудачных попыток ввода пароля, после которых пользователь блокируется.
— Account lockout duration — длительность блокировки в минутах. По истечении этого времени учетная запись будет автоматически разблокирована.
— Reset account lockout counter after — через сколько минут будет сброшен счетчик неудачных попыток.
Эти параметры применяются ко всем пользователям домена, за исключением групп, для которых настроены особые политики с помощью детальных политик паролей (Fine Grained Password Policy).
Как разблокировать учетную запись пользователя с помощью ADUC?
Если учетная запись пользователя заблокирована, при попытке входа в систему появится сообщение:
Учетная запись пользователя заблокирована и не может быть использована для входа в сеть.
The referenced account is currently locked out and may not be logged on to.
Чтобы разблокировать пользователя через графическую консоль Active Directory Users and Computers (ADUC), выполните следующие шаги:
1. Запустите консоль dsa.msc и найдите нужного пользователя AD.
2. Перейдите на вкладку Account. Если пользователь заблокирован, вы увидите надпись Unlock account.
3. Включите опцию разблокировки и нажмите OK.
Теперь пользователь сможет войти в домен.
Для делегирования прав на разблокировку пользователям (например, техподдержке) выполните следующие шаги:
1. Щелкните по Organization Unit (OU) с пользователями, выберите Delegate Control.
2. Укажите группу, которой хотите предоставить права (например, spbHelpDesk).
3. Выберите Create a custom task > Only the following objects in the folder > User objects.
4. В списке разрешений выберите Write lockout Time.
Теперь пользователи из группы spbHelpDesk могут разблокировать учетные записи.
Вы можете включить политику аудита, которая позволит узнать, кто конкретно разблокировал учетную запись пользователя:
Включите политику Audit User Account Management в Default Domain Controller GPO (Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies -> Account Management);
После этого вы можете вы можете отслеживать события разблокировки пользователей по EventID 4767 в журнале Security на контроллере домена ( A user account was unlocked ). В событии указано кто и кого разблокировал.
Также вы можете найти события по event ID с помощью PowerShell:
Get-WinEvent -FilterHashtable @{logname='Security';id=4767}|ft TimeCreated,Id,Message
Разблокировать учетную запись пользователя с помощью PowerShell
Используйте командлет Unlock-ADAccount для разблокировки пользователей. Этот командлет входит в модуль Active Directory для PowerShell, который можно установить как на Windows Server, так и на Windows 10/11 (Pro и Enterprise).
1. Проверьте, что пользователь заблокирован:
Get-ADUser -Identity a.novak -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
2. Разблокируйте учетную запись:
Unlock-ADAccount a.novak
Также можно вывести время блокировки и другие данные пользователя:
Get-ADUser a.novak -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,pwdLastSet | Select-Object Name, Lockedout,@{n='LastLogon'; e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}}, @{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}, @{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}
Чтобы найти всех заблокированных пользователей:
Search-ADAccount -UsersOnly -lockedout
Для разблокировки всех заблокированных пользователей можно использовать:
Search-ADAccount -UsersOnly -lockedout | Unlock-ADAccount
Следуя этим шагам, вы сможете быстро разблокировать пользователей в Active Directory и предотвратить повторные обращения в техподдержку.
