Windows 2008 R2 gpupdate khóa tài khoản người dùng của tôi

9

Tôi đã xây dựng một máy chủ Windows 2008 R2 vào năm ngoái và kể từ khi tài khoản nâng cao của tôi khóa 10-12 lần một ngày. Sau nhiều nghiên cứu và thử nghiệm, tôi thấy rằng máy chủ đang khóa tài khoản của tôi trong mỗi lần thử cập nhật Chính sách nhóm không thành công (khoảng 90 phút một lần). Tôi không tìm thấy thông tin nào trên web cho thấy bất kỳ ai khác đã nhìn thấy điều này và bản thân tôi cũng thấy nó không thể tin được.

Mỗi lần 3 sự kiện hệ thống được ghi lại trên máy chủ:

ID sự kiện 14: Mật khẩu được lưu trong Trình quản lý thông tin không hợp lệ. Điều này có thể do người dùng thay đổi mật khẩu từ máy tính này hoặc máy tính khác. Để khắc phục lỗi này, hãy mở Trình quản lý thông tin xác thực trong Bảng điều khiển và nhập lại mật khẩu cho thông tin xác thực.

Không có mục nào trong Trình quản lý thông tin xác thực. Điều này xảy ra cho dù tôi có vô hiệu hóa dịch vụ Trình quản lý xác thực hay không, cho dù tôi có đăng nhập hay không, tôi có đăng xuất hay không và sử dụng tài khoản quản trị viên cục bộ để xóa hồ sơ của mình.

ID sự kiện 40960: Hệ thống bảo mật đã phát hiện lỗi xác thực cho máy chủ cifs / ContosoDC.contoso.com. Mã lỗi từ giao thức xác thực Kerberos là "Tài khoản người dùng đã bị khóa tự động vì có quá nhiều lần đăng nhập không hợp lệ hoặc các nỗ lực thay đổi mật khẩu đã được yêu cầu. (0xc0000234)".

-

ID sự kiện 1058:

Việc xử lý Chính sách nhóm thất bại. Windows đã cố đọc tệp \ contoso.com \ SysVol \ contoso.com \ Chính sách {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini từ bộ điều khiển miền và không thành công. Cài đặt chính sách nhóm có thể không được áp dụng cho đến khi sự kiện này được giải quyết. Vấn đề này có thể là tạm thời và có thể do một hoặc nhiều nguyên nhân sau: a) Phân giải tên / Kết nối mạng với bộ điều khiển miền hiện tại. b) Độ trễ dịch vụ sao chép tệp (một tệp được tạo trên bộ điều khiển miền khác chưa được sao chép sang bộ điều khiển miền hiện tại). c) Máy khách Hệ thống tệp phân tán (DFS) đã bị tắt.

Tôi đã kiểm tra các mục ac, dường như không có trường hợp nào.

Tôi đã kiểm tra kỹ điều này bằng cách kiểm tra xem tài khoản người dùng không bị khóa, chạy gpupdate trên máy chủ và sau đó kiểm tra lại tài khoản người dùng, khóa ngay lập tức. Tôi đã sử dụng các công cụ khóa để tiết lộ rằng tất cả các lần khóa đều bắt nguồn từ máy chủ cụ thể này. Tài khoản người dùng không có địa chỉ email liên quan và tôi đã nghiên cứu rộng rãi các vấn đề khóa thông thường đã biết.

Có manh mối nào cho tôi không? Tôi đã sẵn sàng để gỡ xuống máy chủ sản xuất này và đặt lại đối tượng máy tính của nó trong AD, nhưng tôi không biết rằng nó sẽ giúp ích.

windows-server-2008-r2  group-policy  active-directory 
Máy chủ Windows
nguồn
2
Bạn có thiết lập dịch vụ với tên người dùng của bạn? Điều gì về một phiên RDP bị ngắt kết nối? Thứ tự nào bạn nhận được những thứ này? Tôi đoán 40960 là quá trình khóa và phần còn lại là kết quả của điều đó.
Nixphoe

Câu trả lời:

8

Rõ ràng, có thể có mật khẩu trong trình quản lý thông tin xác thực không hiển thị. Hoặc, để trích dẫn liên kết này :

Có những mật khẩu có thể được lưu trữ trong ngữ cảnh HỆ THỐNG không thể nhìn thấy trong chế độ xem Trình quản lý thông tin thông thường.

Tải xuống PsExec.exe từ http://technet.microsoft.com/en-us/sysiternals/bb897553.aspx và sao chép nó vào C: \ Windows \ System32.

Từ một dấu nhắc lệnh chạy: psexec -i -s -d cmd.exe

Từ cửa sổ DOS mới chạy: rundll32 keymgr.dll,KRShowKeyMgr

Xóa mọi mục xuất hiện trong danh sách Tên người dùng và mật khẩu được lưu trữ. Khởi động lại máy tính.

Hy vọng rằng, điều đó sẽ giải quyết vấn đề của bạn.

Kinda Villyard
nguồn
1
Tôi ước tôi có thể cung cấp cho bạn nhiều hơn một upvote. Tôi chưa bao giờ nghĩ đến việc tìm kiếm trong bối cảnh của tài khoản HỆ THỐNG để biết các thông tin đã lưu như thế này.
bshacklett 10/03/2015
1

Nếu người quản lý thông tin không giúp đỡ, tôi sẽ thử đưa hệ thống vào OU mà không có bất kỳ GPO nào để kiểm tra.

Nếu sự cố vẫn xảy ra, nó có liên quan đến GPO tên miền mặc định, GPO áp dụng cho toàn bộ miền hoặc không liên quan đến GPO. Dù bằng cách nào, điều này có thể giúp giới hạn phạm vi tìm kiếm.

Từ dấu nhắc cmd, hãy sử dụng gpupdate để kiểm tra các thay đổi mà không phải chờ và gpresult / R để xem GPO nào được áp dụng cho hệ thống.

Nếu bạn nghĩ rằng GPO vẫn còn liên quan, hãy sử dụng bộ lọc WMI để ngăn chặn GPO áp dụng.

Cũng lưu ý rằng có thể có GPO được áp dụng ở cấp trang web, nhưng bạn sẽ thấy những GPO trong đầu ra của gpresult.

Nếu bạn có thể giới hạn các lần khóa bằng cách giảm GPO, thì hãy thêm chúng vào OU một lần để tìm ra một trong những nguyên nhân. Sau đó nghiên cứu GPO để tìm độ phân giải.

Ngoài ra đây là danh sách những thứ tôi kiểm tra khi tài khoản bị khóa và tôi đã biết hệ thống mà nó đến từ đâu. Các dịch vụ Các tác vụ được lên lịch Các ổ đĩa được ánh xạ Các ứng dụng web Bảng điều khiển VM Bảng điều khiển KVM Các phiên RDP Các ứng dụng trợ giúp PW Các kết nối VPN Các thiết bị khác kết nối với email Các công cụ máy tính từ xa Các ứng dụng chạy Trình quản lý xác thực

Jason Landstrom
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.