Active Directory 中的账户经常被锁定的解决办法

活动目录账户锁定可能会令人沮丧并造成混乱，尤其是如果您是敏捷组织的一员。出现这种情况的原因可能是缓存损坏、配置错误和其他问题。在这篇文章中，我们将讨论这个问题，并看看如果账户经常在 Active Directory 中被锁定，你可以做些什么。

账户在 Active Directory 中频繁被锁定

活动目录账户锁定发生在太多次登录尝试失败触发安全限制时。常见原因包括缓存凭据过期、服务账户密码过期、移动设备与旧凭据同步、映射驱动器过期、用户错误和配置错误的策略。查看日志和身份验证源有助于发现并解决问题。如果您的账户经常在 Active Directory 中被锁定，请遵循下面提到的解决方案：

在 Active Directory 中启用账户锁定审计策略

使用 PDC 仿真器和事件查看器识别锁定源

跟踪失败的预验证尝试

审计和更新源计算机上存储的凭据

下面让我们详细介绍一下：

1、在 Active Directory 中启用账户锁定审核策略

当用户因安全策略限制而被自动阻止登录一段时间后，就会发生账户锁定事件。这些设置在默认域策略或细粒度密码策略对象中定义，指定触发锁定的失败尝试次数、锁定持续时间以及失败计数器重置时间。

通过锁定策略，可以配置账户锁定阈值（导致锁定的错误密码尝试次数）、账户锁定持续时间（账户在自动解锁前保持锁定的时间；0 表示只有管理员才能解锁）和重置账户锁定计数器后（如果没有新的失败尝试发生，则清除失败尝试的时间段）。

运行以下 PowerShell 查看应用于特定账户的锁定/密码策略：

Get-ADUserResultantPasswordPolicy -Identity <UserName>

如果没有返回任何信息，则该账户使用域的默认策略。

列出默认域锁定设置

显示默认域策略的锁定值：

Get-ADDefaultDomainPasswordPolicy | Select-Object lockout | Format-Table

现在，请按照以下步骤进行更改：

打开组策略管理。

现在，导航到计算机配置>策略> Windows 设置>安全设置>帐户策略>帐户锁定策略

最后，配置以下策略 - 帐户锁定持续时间、帐户锁定阈值和重置帐户锁定计数器。

通常情况下，账户会在五次错误尝试后被锁定，并在 30 分钟后自动解锁。如果锁定持续时间设置为 0，账户不会自动解锁，需要管理员清除锁定。调整这些值时要深思熟虑，在安全性和可用性之间取得平衡。

您可以以管理员身份在 PowerShell 中运行以下命令来解锁账户：

解锁特定账户：

Unlock-ADAccount jjackson –Confirm

解锁所有锁定的账户：

如何在没有Apple Watch的情况下使用Apple Fitness

Search-ADAccount –LockedOut -UsersOnly | Unlock-ADAccount

但是，如果账户经常被锁定，而不是因为其中的某项政策，请继续阅读以确定罪魁祸首。

2、使用 PDC 仿真器和事件查看器确定锁定源

PDC 仿真器角色持有者是帐户锁定事件的权威来源。您可以在事件查看器中搜索特定事件，以确定此问题的原因。首先，使用以下 PowerShell 命令找到 PDC 仿真器，并确保以管理员身份运行。

(Get-ADDomain).PDCEmulator

登录到该特定服务器并打开事件查看器。 现在，筛选安全日志并查找事件 ID 4740，用户帐户已锁定。 在事件详细信息中，“呼叫方计算机名称”字段将告诉您发起锁定的确切计算机。这是你的主要嫌疑人。

从事件查看器日志中识别出源计算机后，请立即调查该计算机是否存在过时的缓存凭据。检查并清除凭据管理器，断开映射的网络驱动器，注销任何断开连接的 RDP 会话，并更新在用户帐户下运行的任何服务或计划任务的密码。最后，确保用户的 Outlook 和移动电子邮件客户端已使用新密码进行更新，因为这些密码是重复身份验证尝试的常见罪魁祸首。

3、跟踪失败的预验证尝试

如果事件 ID 4740 不显示调用者计算机名称，则锁定可能是由 Kerberos 验证失败引起的。在 PDC 仿真器上，过滤安全日志中的事件 ID 4771（“Kerberos 预验证失败”）。查找失败代码为 “0x18”（表示 “密码错误” 或 “账户被锁定”）的事件。这些事件中的客户端地址字段将显示源计算机的 IP 地址。使用下面提到的命令将此 IP 地址转换为计算机名称，以找到罪魁祸首。

nslookup <IP_Address>

然后，您可以执行前面提到的解决方案来解决问题。

4、审计和更新源计算机上存储的凭据

一旦确定了源计算机，问题几乎总是出在该设备上过时的缓存凭据上。在出现问题的计算机上，按照以下步骤操作：

首先，通过在“开始”菜单中搜索来打开凭据管理器。

转到 Windows 凭据部分。

查找与锁定用户相关的任何通用或域凭据。

现在，单击删除。

让用户断开所有映射的网络驱动器，然后重新映射它们，确保他们输入当前密码。

希望本文能帮到大家，也请大家多多关注电脑志网站。

如何解决 Active Directory 中的账户锁定问题？

要解决频繁出现的 Active Directory 帐户锁定问题，首先要使用 PDC 仿真器上的 “事件查看器” 确定源头（如凭证过期的设备）。要立即解锁自己的账户，请在连接域的计算机上按 Ctrl+Alt+Del，选择 “解锁”，然后输入新密码，或等待自动锁定持续时间到期。对于持续出现的问题，管理员必须找到并清除导致问题的过期凭证。

为什么我的账户总是被锁定？

您的账户总是被锁定，主要是因为设备或服务反复尝试使用您的旧密码进行身份验证。这种情况在最近更改密码后最为常见。典型的罪魁祸首是登录的计算机、使用旧电子邮件设置的手机或映射的网络驱动器。管理员必须使用域控制器上的事件日志追踪源头，才能永久解决这个问题。

科普：4种识别计算机中的硬件配置的方法

本文由 King 发布在 电脑志，转载此文请保持文章完整性，并请附上文章来源（电脑志）及本页链接。
原文链接：https://www.pcsofter.com/guide/131183.html
如有问题欢迎加入电脑志QQ群讨论，QQ群号：582228047。