Comment trouver un ordinateur verrouillant un compte Active Directory

Si vous travaillez dans un environnement Microsoft Active Directory, vous pouvez avoir des problèmes lorsque le compte d'un utilisateur reste bloqué. Voici un tutoriel montrant tout ce que vous devez savoir sur la façon de suivre l'ordinateur qui verrouille un compte AD.

Rechercher un contrôleur de domaine où le verrouillage s'est produit

  1. Téléchargez les outils de verrouillage de compte et de gestion de Microsoft sur tout ordinateur du domaine pour lequel vous disposez de droits d'administrateur.
  2. Créez un dossier nommé « ALTools » sur votre bureau, puis exécutez « ALTools.exe » pour extraire les fichiers dans ce dossier.
  3. Dans le dossier « ALTools », ouvrez « LockoutStatus.exe ».
  4. Sélectionnez « Fichier »> « Sélectionner la cible ».
  5. Spécifiez le « nom d'utilisateur cible » qui reste bloqué et le « nom de domaine cible ». Si vous n'êtes pas connecté en tant qu'administrateur de domaine et souhaitez utiliser d'autres informations d'identification, cochez la case " Utiliser d'autres informations d'identification ", puis tapez un compte de domaine " Nom d'utilisateur ", " Mot de passe " et " Nom de domaine ".
  6. Sélectionnez « OK ». L'utilisateur sera répertorié, ainsi que le nom du contrôleur de domaine où le compte est verrouillé.

Rechercher un ordinateur verrouillé à l'aide des journaux des événements

  1. Connectez-vous au contrôleur de domaine où l'authentification a eu lieu.
  2. Ouvrez « Observateur d'événements ».
  3. Développez « Journaux Windows » puis choisissez « Sécurité ».
  4. Sélectionnez « Filtrer le journal actuel… » dans le volet de droite.
  5. Remplacez le champ qui dit “ ”Avec“ 4740 “, puis sélectionnez“ OK “.

  6. Sélectionnez « Rechercher » dans le volet de droite, tapez le nom d'utilisateur du compte verrouillé, puis sélectionnez « OK ».
  7. L'observateur d'événements ne doit désormais afficher que les événements pour lesquels l'utilisateur n'a pas réussi à se connecter et a verrouillé le compte. Vous pouvez double-cliquer sur l'événement pour voir les détails, y compris le « Nom de l'ordinateur de l'appelant », d'où provient le verrouillage.

Trouver ce qui est spécifiquement verrouiller un compte sur un ordinateur

Si l'ordinateur a déjà été connecté avant que le mot de passe du compte ne soit modifié ou verrouillé, un simple redémarrage peut suffire. Sinon, procédez comme suit pour vérifier les informations d'identification stockées qui pourraient être liées à l'exécution d'une tâche et au verrouillage du compte.

  1. Ouvrez une session sur l'ordinateur d'où proviennent les verrouillages.
  2. Téléchargez PsTools à partir de Microsoft.
  3. Extrayez le fichier unique PsExec.exe dans « C: \ Windows \ System32 ».
  4. Sélectionnez « Démarrer », puis tapez « CMD ».
  5. Cliquez avec le bouton droit de la souris sur « Invite de commandes », puis choisissez « Exécuter en tant qu'administrateur ».
  6. Tapez ce qui suit, puis appuyez sur " Entrée ":

    psexec -i -s -d cmd.exe

  7. Une autre fenêtre de commande s'ouvrira. Tapez le texte suivant dans cette fenêtre, puis appuyez sur " Entrée ":

    rundll32 keymgr.dll, KRShowKeyMgr

  8. Une fenêtre contenant une liste de noms d'utilisateur et de mots de passe stockés apparaîtra. Vous pouvez choisir de « supprimer » des éléments de cette liste susceptibles de verrouiller des comptes, ou de sélectionner « Modifier… » pour mettre à jour le mot de passe.

FAQ

Le journal des événements indique qu'un nom d'ordinateur qui n'existe pas dans notre environnement AD verrouille le compte. Comment puis-je le retrouver et l'arrêter?

Très probablement, quelqu'un a installé l'application Outlook sur un téléphone ou une tablette personnel. Le périphérique tente de s'authentifier via un autre périphérique, tel qu'un serveur Microsoft Exchange. Vous pouvez le vérifier en procédant comme suit:

  1. Effectuez les étapes 1 à 6 comme indiqué ci-dessus dans la section « Recherche du contrôleur de domaine où le verrouillage s'est produit ».
  2. Connectez-vous au contrôleur de domaine et activez la journalisation de débogage pour le service Netlogon.
  3. Attendez que le verrouillage se reproduise. Une fois que cela est fait, revenez à l'outil État du verrouillage, cliquez avec le bouton droit de la souris sur le contrôleur de domaine, puis choisissez « Ouvrir le journal Netlogon ».
  4. Sélectionnez « Modifier »> « Rechercher » et recherchez le nom d'utilisateur verrouillé du compte. Il doit afficher le nom de l'ordinateur de l'appelant suivi d'un autre nom d'ordinateur entre accolades d'où proviennent les demandes.