【问题】AD环境下,经常会遇到用户账号因输错密码次数超限而被锁的情况。
如果AD环境较简单还好说,但如果域控很多,要定位用户账号被锁在哪里就有点小麻烦了,比如开发人员可能会频繁登录多台服务器,如果某台服务器缓存了用户账号,一旦账号被锁,该如何定位源头?
P.S. 解释一下域控很多的情况,用户A是一家美国的跨国公司,AD环境里存在多个站点,美国总部是根域A.com,下面有多个子域,比如中国CN.A.com, 亚太AP.A.com, 欧洲EU.A.com...每个站点里都搭建了各个域的域控,相互之间同步、备份。 如下图,CN子域的域控在整个组织里就有12台。
【解决】估计微软也知道存在这个问题,所以提供了一个小工具,LockoutStatus。
1. 下载安装后,运行这个工具,File菜单里选Select Target,
2. 输入用户账号跟域名,然后点OK按钮。
3. 在返回的结果里,着重看三项:
a. user state: Locked
b. Lockout Time: 锁定时间,后续会用
c. Orig Lock: 锁定源域控服务器名,后续会用
4. 远程登录到上一步Orig Lock找到的域控服务器,然后打开事件查看器。
5. 展开Windows日志 >>> Security,根据第三步Lockout Time的锁定时间,就能定位到账号被锁定在那台机器上了。
简单吧~ : )
-----EOF----
