Active Directory(AD)帐户可能由于多种原因而被锁定,IT 管理员需要发现帐户被锁定的原因并解锁它们,但是手动执行此操作是一项耗时且复杂的活动。
最重要的是,帐户锁定如此普遍的事实只会使解锁这些帐户更具挑战性,但别担心,这里有一些提示和技巧,也许只是您正在寻找的解决方案,以帮助您处理帐户锁定。
为什么 AD 帐户被锁定
Active Directory 帐户被锁定的一些常见原因包括:
- 最终用户错误:用户已用尽所有允许输入有效用户名-密码组合的尝试。
- 使用旧凭据的应用程序:在用户的系统上,有许多应用程序使用用户的 AD 凭据。因此,如果用户的凭据已过期或更改,并且新凭据未在这些应用程序中更新,则可能会将其锁定在其帐户之外。
- 使用旧凭据的系统:用户可以同时使用多个设备访问同一个AD帐户,如果他们在其中一台设备中更改密码,而没有在其他设备中更新密码,则他们的帐户可能会被锁定。
- 使用旧凭据的服务帐户:服务帐户凭据可能会过期或更改,但 Windows 服务可能会尝试使用旧凭据运行服务,从而导致帐户锁定。
- 计划任务:无论用户是否登录,Windows 任务计划程序都需要用户指定的凭据来执行任务,这些凭据可能已过期或已更改。如果在这种情况下未更新缓存的凭据区域,则可能会导致帐户锁定。
AD 帐户锁定疑难解答
以下是对 AD 帐户锁定进行故障排除的一些提示:
客户端
- 检查本地用户帐户是否与 AD 用户帐户具有相同的 name 属性。如果是这样,请重命名本地 ID。
- 清除所有临时文件。
- 清除所有 Web 浏览器中的所有 Cookie、保存的密码和历史记录。
- 从“控制面板”中删除存储的密码。
- 转到“开始”>“运行”>预回迁并删除所有预回迁文件。
- 检查计算机上的事件日志,了解帐户锁定的原因。
服务器端
- 确保所有域控制器都更新了最新的 Service Pack 和修补程序。
- 配置域级审核以及 Netlogon 和 Kerberos 日志记录以记录相关数据。
- 浏览安全事件日志和 Netlogon 日志文件,了解锁定发生的位置和原因。
- 检查所有可用日志,以检查是否面临暴力攻击。如果记录了成百上千次失败的登录尝试,则很有可能您已经或正在受到攻击。
解决AD帐户锁定问题
ADSelfService Plus 是一个集成的Active Directory密码管理和单点登录解决方案,可帮助您有效解决由用户错误引起的帐户锁定问题。方法如下:
- 自助服务帐户解锁
- 综合报告
- 密码过期通知
- 提高生产力
- 解锁锁定AD帐户的步骤
自助服务帐户解锁
允许用户在不涉及 IT 台的情况下安全地解锁其 AD 帐户,从而减轻帮助台技术人员解决帐户锁定票证的责任。IT 团队可以利用节省下来的时间处理更具挑战性和更重要的问题。
综合报告
使用ADSelfService Plus跟踪锁定的用户、失败的身份验证用户以及密码过期的用户,您可以将现成的报告相互比较并快速得出结论,从而轻松分析帐户锁定的根本原因,您可以自定义这些报告中显示的信息。您还可以安排以所需的时间间隔生成这些报告,并通过电子邮件发送它们。
密码过期通知
可以通过电子邮件、短信和推送通知以您选择的频率通知用户即将过期的密码,这对避免帐户锁定有巨大影响,因为帐户锁定的主要部分是由过期的密码引起的。
提高生产力
见证组织整体生产力的提高,减少因帐户锁定而处于非活动状态的用户,ADSelfService Plus还可以提高IT部门的效率,因为花在解开帐户锁定原因上的时间更少。
解锁锁定AD帐户的步骤
- 用户可以单击 Windows 登录屏幕上的重置密码/解锁帐户按钮。
- 在ADSelfService Plus门户弹出窗口中,用户应选择“解锁帐户”。
- 然后,用户需要输入其用户名并单击“继续”。
- 接下来,用户必须通过管理员强制执行的身份验证方法来证明其身份,然后单击继续。
- 现在,输入验证码后,用户可以单击“解锁帐户”按钮。
