none
AD用户锁定的状态(BadLogonCount、LockedOut )显示疑问 RRS feed

  • 问题

  • 通过ADUC看到用户没有锁定。但是看到用户BadLogonCount已经达到了预定的5次失败就锁定阈值。这是为什么啊?

    get-aduser user1 -Properties *

    AccountLockoutTime                 : 2021/3/9 17:26:29
    LockedOut                          : False

    AccountNotDelegated                : False
    AllowReversiblePasswordEncryption  : False
    BadLogonCount                      : 5




    2021年3月15日 0:33

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1.请问您的截图上的域控是什么版本的?Windows server 2008吗?
    2.您这边有账号的锁定时间AccountLockoutTime: 2021/3/9 17:26:29,但是账号显示的是未锁定的状态,请问您是账号锁定以后什么时候去ADUC里检查, 并且使用命令检查账号的状态的呢?
    3.请问是不是已经超过了账号锁定的时长,从而账号已经自动解锁了呢?


    如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月15日 5:59
    版主
  • 谢谢Daisy Zhou

    1,域控是2008R2

    2,ADUC的检查时间在AccountLockoutTime之后。另外使用命令检查账号的状态,是指这个参数吗LockedOut:False

    3,没有使用自动解锁的策略

    2021年3月15日 6:06
  • 尊敬的客户,您好!

    感谢您的回复。

    您的意思您设置了“帐户锁定阈值”,但是没有设置其他两个设置“锁定时长”和“重置账号锁定计数器”?


    应该不会这样的,因为我在我的环境设置了“帐户锁定阈值”,他就一定提示我设置“锁定时长”和“重置账号锁定计数器”。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月16日 6:53
    版主
  • 谢谢Daisy Zhou

    我之前理解错误了。我这里确实设置了自动解锁。请问自动解锁,会触发日志吗?

    我之前手工检查的时间,很有可能是在自动解锁之后,所以得到了错误的结论。

    2021年3月16日 8:12
  • 尊敬的客户,您好!

    感谢您的回复。

    如果您之前在域控上(组策略对象:默认的域控制器策略)设置了审核策略,可能看到的,但是之前没有设置,那就看不到之前的解锁账号的日志了。
    传统审核策略:
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Management - Success and Failure


    或者配置了高级审核策略(默认情况下,任意一条高级审核策略一旦设置以后,所有传统的审核策略全部失效):

    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration
    Account Management:
    Audit User Account Management – Success and Failure


    提示:也就是说您环境中之前从来没有配置过任何一台高级审核策略,那您就配置传统审核策略。
    如果您环境中之前已经配置过高级审核策略,那您就配置高级审核策略。
    如果您AD环境里本来就配置了上面的审核策略,那就不用再重新配置了。


    您可以看下策略的解释:
    用户帐号管理
    通过此策略设置,您可以审核对用户帐户的更改。 事件包括以下内容:
    创建,更改,删除用户帐户; 重命名,禁用,启用,锁定或解锁。
    设置或更改了用户帐户的密码。
    安全标识符(SID)已添加到用户帐户的SID历史记录中。
    目录服务还原模式密码已配置。
    管理用户帐户的权限已更改。
    凭据管理器凭据已备份或还原。
    如果配置此策略设置,则在尝试更改用户帐户时将生成审核事件。 成功审核记录成功尝试,失败审核记录失败尝试。 如果未配置此策略设置,则用户帐户更改时不会生成审核事件。

    我刚才在测试环境,手动解锁了一个账号,看到可以产生日志的。


    然后我在测试环境中发现,自动解锁的账号,不产生安全日志。


    提示:如果需要的话,您可以在测试环境中自己测试一下看看。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2021年3月17日 5:35
    版主
  • 谢谢Daisy Zhou的回复

    在我的环境中,也没有找到自动解锁的日志。我没有更多问题了。再次感谢!

    2021年3月17日 8:23
  • 尊敬的客户,您好!

    感谢您的回复。

    很高兴我的回复对您有帮助,请将我有用的回复下点击“标记为答复”,以便有类似问题的人更快地找到有用的回复。

    一如既往,如后期有任何问题,欢迎您随时上贴,我们很高兴帮助您。

    祝您工作生活愉快。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2021年3月17日 8:53
    版主