القائمة الرئيسية

الصفحات

كيفية البحث عن مصدر قفل الحساب في Active Directory

كيفية البحث عن مصدر قفل الحساب في Active Directory

كيفية البحث عن مصدر قفل الحساب في Active Directory

ستتعلم في هذا المقالة كيفية العثور على مصدر عمليات تأمين الحساب في Active Directory.


سأوضح لك طريقتين ، الأولى باستخدام PowerShell والثانية هي باستخدام أداة واجهة المستخدم الرسومية التي أنشأتها والتي تجعل من السهل جدًا فتح حسابات المستخدمين والعثور على مصدر القفل.


يعد قفل المستخدمين لحساباتهم مشكلة شائعة ، وهي مشكلة خاصة بها وتؤدي الى أهم المكالمات إلى مكتب المساعدة.


ما هو محبط هو عندما تفتح حساب مستخدم ويحتفظ بالقفل بشكل عشوائي. يمكن تسجيل دخول المستخدم إلى أجهزة متعددة (الهاتف ، والكمبيوتر ، والتطبيق ، وما إلى ذلك) وعندما يغيرون كلمة المرور الخاصة بهم ، فسوف يتسبب ذلك في حدوث مشكلات قفل مستمرة.


سيساعدك هذا الدليل على تعقب مصدر عمليات الإغلاق تلك.



الطريقة 1: استخدام PowerShell للعثور على مصدر تأمين الحساب

الخطوة 1: تمكين التدقيق

يجب تمكين معرف الحدث رقم 4740 حتى يتم قفله في أي وقت يتم فيه قفل المستخدم. سيحتوي معرف الحدث هذا على الكمبيوتر المصدر الخاص بعملية القفل.


1. افتح وحدة تحكم إدارة نهج المجموعة. يمكن أن يكون هذا من وحدة تحكم الدومين أو أي جهاز كمبيوتر مثبت عليه أدوات RSAT.

الخطوة 1: تمكين التدقيق




2. تعديل نهج وحدات تحكم المجال الافتراضي

استعرض للوصول إلى سياسة وحدات تحكم المجال الافتراضية ، وانقر بزر الماوس الأيمن وحدد تحرير.

2. تعديل نهج وحدات تحكم المجال الافتراضي




3. تعديل تكوين نهج التدوين المتقدم


انتقل الى computer configuration -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Account Management


قم بتمكين خيار النجاح والفشل لسياسة "تدقيق إدارة حساب المستخدم".

Audit User Account Management



التدقيق قيد التشغيل الآن وسيتم تسجيل الحدث 4740 في سجلات أحداث الأمان عند قفل الحساب.


الخطوة 2: ابحث عن وحدة التحكم بالمجال مع دور محاكي PDC

إذا كان لديك وحدة تحكم دومين واحدة، فيمكنك التخطي إلى الخطوة التالية ... نأمل أن يكون لديك على الأقل اثنين من متحكمات الدومين.


سوف يقوم متحكم الدومين مع دور المحاكي PDC بتسجيل كل قفل حساب بمعرف الحدث 4740.


للعثور على وحدة تحكم الدومين التي لها دور PDCEmulator ، قم بتشغيل أمر PowerShell الاتي:

get-addomain | select PDCEmulator

get-addomain | select PDCEmulator


الخطوة 3: البحث عن معرف الحدث 4740 باستخدام PowerShell

كل التفاصيل التي تحتاجها موجودة في الحدث 4740. الآن بعد أن عرفت أي متحكم دومين يشغل دور pdcemulator ، يمكنك تصفية السجلات لهذا الحدث.


على وحدة تحكم المجال DC التي تحتفظ بدور PDCEmulator ، افتح PowerShell وقم بتشغيل هذا الأمر

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}


سيؤدي هذا إلى البحث في سجلات أحداث الأمان عن معرف الحدث 4740. إذا كان لديك أي عمليات تأمين للحساب ، فيجب أن تظهر قائمة مثل أدناه.

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}



لعرض تفاصيل هذه الأحداث والحصول على مصدر التأمين ، استخدم هذا الأمر.

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl


سيعرض هذا اسم كمبيوتر المتصل الخاص بقفل التأمين. هذا هو مصدر تأمين حساب المستخدم.

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl


يمكنك أيضًا فتح سجل الأحداث وتصفية الأحداث لـ 4740

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl




هذا كل شيء بالنسبة للطريقة الاولى.


على الرغم من نجاح هذه الطريقة ، إلا أنها تستغرق بضع خطوات يدوية ويمكن أن تستغرق وقتًا طويلاً. قد يكون لديك أيضًا موظفون ليسوا على دراية بـ PowerShell وتحتاج إلى أداء وظائف أخرى مثل إلغاء قفل حساب المستخدم أو إعادة تعيينه.


لهذا السبب قمت بإنشاء أداة Active Directory User Unlock GUI. تجعل هذه الأداة من السهل جدًا على الموظفين العثور على جميع المستخدمين المقفلين ومصدر عمليات تأمين الحساب.


تحقق من الخطوات أدناه لاستخدام أداة unlock gui.


الطريقة 2: استخدام أداة User Unlock GUI Tool للبحث عن مصدر تأمين الحساب

لقد أنشأت هذه الأداة لتسهيل قيام أي موظف بإلغاء تأمين الحسابات وإعادة تعيين كلمات المرور والعثور على مصدر عمليات تأمين الحساب.


تمامًا مثل PowerShell ، تتطلب هذه الأداة تشغيل التدقيق لإدارة الحساب. راجع الخطوات أعلاه لتمكين سجلات التدقيق هذه.


1. افتح أداة فتح قفل المستخدم

1. افتح أداة فتح قفل المستخدم




2. انقر فوق زر البحث ، ثم انقر فوق مزيد من التفاصيل

2. انقر فوق زر البحث ، ثم انقر فوق مزيد من التفاصيل




هذا هو كل ما في الامر.


سترى الآن قائمة بالمرات التي تم فيها إغلاق الحساب والكمبيوتر المصدر.


بالإضافة إلى ذلك ، يمكنك فتح الحساب وإعادة تعيين كلمة المرور كلها من أداة واحدة. ستعرض الأداة جميع الحسابات المقفلة ، يمكنك تحديد حساب واحد أو عدة حسابات لفتحها.


يتم تضمين أداة إلغاء قفل المستخدم في حزمة AD Pro Toolkit الخاصة بي ، وهي عبارة عن حزمة من 10 أدوات للمساعدة في تبسيط وأتمتة مهام AD الروتينية.


آمل أن تكون قد وجدت هذه المقالة مفيدة. إذا كانت لديك أسئلة أو تعليقات ، فأخبرني عن طريق نشر تعليق أدناه.

reaction:

تعليقات