Tenemos una cuenta de servicio en nuestro entorno AD (Windows 2003) que se bloquea con frecuencia.
algunos antecedentes:
- Dominio de Windows 2003
- la cuenta está configurada para no caducar nunca
- nunca cambiamos la contraseña de esta cuenta
- El intervalo entre cada vez que desbloqueo la cuenta es totalmente aleatorio.
A veces, la cuenta funciona normalmente durante una o dos semanas sin ningún problema; mientras que en otras ocasiones, se vuelve a bloquear un día después de desbloquearlo.
Al principio, pensé que la cuenta podría ser utilizada por un proceso o trabajo programado o algo que tiene una contraseña mal configurada. Revisé los registros de seguridad en todos los DC pero no encontré nada. También probé la herramienta de bloqueo de cuentas de Microsoft y tampoco tuve suerte.
Verificamos el tráfico de la red interna (suponiendo que el bloqueo sea activado por un servidor/máquina terminal), pero no pudimos encontrar ningún intento de inicio de sesión no válido con esta cuenta.
Tenemos muchas otras cuentas de servicio en el mismo entorno de AD y ninguna de ellas tiene el mismo problema.
Realmente me estoy quedando sin idea... ¡cualquier ayuda es muy apreciada!
¡Muchas gracias!
Respuesta1
Para averiguar el motivo del bloqueo de la cuenta, debe configurar la configuración de la política de auditoría avanzada. Le ayudará a realizar un seguimiento y auditar los eventos de inicio de sesión en GPO. Una vez que haya configurado correctamente la política, puede consultar el registro de eventos de seguridad para el ID de evento 4740. Consulte el artículo a continuación que resume la información en detalle:https://community.spiceworks.com/how_to/128213-identify-the-source-of-account-lockouts-in-active-directory