Come risolvere i blocchi degli account Active Directory con PowerShell

Dec 16, 2023

kras99 - stock.adobe.com

Gli incidenti possono accadere, ma quando si tratta di tentativi di accesso falliti, un numero sufficiente di essi può bloccarti senza il tuo laptop di lavoro finché qualcuno dell'IT non arriva in soccorso.

Molte organizzazioni bloccano un account utente dopo un determinato numero di tentativi di accesso non riusciti. L'obiettivo è prevenire gli attacchi da parte di hacker che tentano di trovare la password di un utente con la forza bruta. Tuttavia, non tutti i blocchi provengono da fonti dannose o addirittura da utenti che dimenticano la propria password.

Le applicazioni a volte possono portare al blocco degli account. Le applicazioni spesso si basano su un account di servizio per le autorizzazioni necessarie per funzionare. Tuttavia, se la password dell'account di servizio cambia e l'applicazione non ottiene la password aggiornata, ciò può causare un blocco dell'account di servizio.

Anche le informazioni di accesso ridondanti sono un'altra causa comune di blocco degli account. Un utente aziendale potrebbe avere una dozzina o più set di credenziali legate a un nome utente comune. Ci vuole un certo sforzo per tenere traccia di tutti questi account. Non è difficile prevedere che qualcuno utilizzi accidentalmente più volte il set di credenziali sbagliato e causi il blocco dell'account.

I blocchi degli account possono verificarsi anche quando gli utenti cambiano luogo di lavoro. Uno scenario comune è quando un utente passa dal lavorare su un desktop Windows aggiunto a un dominio in ufficio a un computer Windows diverso a casa che non è attualmente connesso a una rete. Poiché il laptop è offline, non ha registrato la modifica della password. L'utente deve accedere con la vecchia password. Se l'utente porta il portatile in ufficio e tenta di accedere alla rete, la mancata corrispondenza della password, combinata con la confusione dell'utente finale, potrebbe portare al blocco dell'account.

Uno dei motivi principali per cui i blocchi degli account tendono ad essere così problematici è che tendono ad avvenire in modo silenzioso. In qualità di amministratore, potresti non sapere nemmeno che si è verificato un blocco dell'account a meno che un utente non chiami o non venga visualizzato un evento di blocco dell'account elencato nei registri eventi di Windows. Tuttavia, puoi utilizzare l'automazione di PowerShell per gestire meglio gli eventi di blocco degli account.

Per stare al passo con queste situazioni di blocco, un'opzione è utilizzare PowerShell per verificare la presenza di blocchi nei registri eventi con il comando seguente:

ILGet-WinEvent il cmdlet esegue query sui registri eventi. ILFilterHashTable porzione specifica gli elementi da cercare nei log. In questo caso, ilNomeRegistroil parametro punta ilGet-WinEvent cmdlet per cercare nel registro di sicurezza di Windows. Inoltre, il parametro ID cerca istanze dell'ID evento 4740, che fa riferimento agli eventi di blocco degli account.

I risultati vengono quindi convogliati nel fileSeleziona-Oggetto cmdlet, che visualizza l'ora di creazione dell'evento e il messaggio dell'evento. Normalmente, PowerShell tronca il messaggio di blocco dell'account, ma il fileTabella dei formaticmdlet, insieme aAvvolgereparametro, impone a PowerShell di visualizzare tutte le informazioni pertinenti.

In un ambiente di produzione, questa query di blocco dell'account Active Directory potrebbe restituire un numero eccessivo di risultati perché controlla il registro eventi di sicurezza per tutte le istanze dell'ID evento 4740, indipendentemente da quando si è verificato l'evento. Il modo migliore per risolvere questo problema è utilizzare il fileOra di inizio filtro. Ad esempio, il comando seguente esamina gli eventi che si sono verificati nelle ultime 24 ore:

Il primo comando crea una variabile denominata$Inizioe lo imposta sulle 24 ore precedenti tramiteAggiungiGiorni(-1) . Per controllare il valore dei log delle settimane precedenti, utilizzareAggiungiGiorni(-7).

Il secondo comando è identico al codice precedente tranneOra inizio=$Inizio viene aggiunto alla tabella hash del filtro. Ciò indica a PowerShell di ignorare i risultati precedenti alla data e al timestamp nel file$Iniziovariabile.

Un altro modo in cui PowerShell fornisce assistenza con i blocchi degli account Active Directory è l'utilizzo diGet-ADUser cmdlet per verificare lo stato di blocco dell'account. Utilizzare il comando seguente per recuperare gli attributi relativi agli account utente di Active Directory.