Назад | Перейти на главную страницу

Windows 2008 R2 gpupdate блокирует мою учетную запись пользователя

В прошлом году я построил сервер Windows 2008 R2, и с тех пор моя учетная запись с повышенными привилегиями блокируется 10-12 раз в день. После долгих исследований и тестирования я обнаружил, что сервер блокирует мою учетную запись при каждой неудачной попытке обновить групповую политику (примерно каждые 90 минут). Я не нашел в сети информации, указывающей на то, что кто-то еще видел это, и сам считаю это невероятным.

Каждый раз, когда на сервере регистрируются 3 системных события:

Идентификатор события 14: пароль, хранящийся в диспетчере учетных данных, недействителен. Это может быть вызвано изменением пароля пользователем с этого или другого компьютера. Чтобы устранить эту ошибку, откройте диспетчер учетных данных в панели управления и повторно введите пароль для учетных данных contoso \ me.

В диспетчере учетных данных нет записей. Это происходит независимо от того, отключил ли я службу диспетчера учетных данных, вошел я в систему или нет, выхожу из системы и использую учетную запись локального администратора для удаления своего профиля.

Идентификатор события 40960: система безопасности обнаружила ошибку аутентификации для сервера cifs / ContosoDC.contoso.com. Код ошибки из протокола проверки подлинности Kerberos: «Учетная запись пользователя была автоматически заблокирована, поскольку было запрошено слишком много недопустимых попыток входа в систему или попыток изменения пароля. (0xc0000234)».

-

Код события 1058:

Ошибка обработки групповой политики. Windows попыталась прочитать файл \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini с контроллера домена и не удалась. Параметры групповой политики не могут применяться, пока это событие не будет разрешено. Эта проблема может быть временной и может быть вызвана одним или несколькими из следующих факторов: a) Разрешение имен / сетевое подключение к текущему контроллеру домена. б) Задержка службы репликации файлов (файл, созданный на другом контроллере домена, не реплицирован на текущий контроллер домена). c) Клиент распределенной файловой системы (DFS) отключен.

Я проверил пункты a-c, похоже, ничего не так.

Я тщательно протестировал это, проверив, что учетная запись пользователя не заблокирована, запустив gpupdate на сервере, а затем повторно проверив учетную запись пользователя, которая немедленно заблокируется. Я использовал инструменты блокировки, чтобы выявить, что все блокировки происходят с этого конкретного сервера. У учетной записи пользователя нет связанного адреса электронной почты, и я тщательно исследовал обычный набор известных проблем с блокировкой.

Есть какие-нибудь подсказки для меня? Я собираюсь снять этот производственный сервер и сбросить его компьютерный объект в AD, но не знаю, поможет ли это.

По-видимому, в диспетчере учетных данных могут быть пароли, которые не отображаются. Или, чтобы процитировать эта ссылка:

Существуют пароли, которые могут храниться в контексте СИСТЕМЫ, которые нельзя увидеть в обычном представлении диспетчера учетных данных.

Загрузите PsExec.exe из http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx и скопируйте его в C: \ Windows \ System32.

Из командной строки запустите: psexec -i -s -d cmd.exe

В новом окне DOS запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые отображаются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.

Надеюсь, это решит вашу проблему.

Если диспетчер учетных данных не помогает, я бы попытался поместить систему в подразделение без каких-либо объектов групповой политики для тестирования.

Если проблема все еще возникает, она связана с GPO домена по умолчанию, GPO, который применяется ко всему домену или не связан с GPO. В любом случае это может помочь ограничить область поиска.

В командной строке используйте gpupdate, чтобы проверить изменения без ожидания, и gpresult / R, чтобы увидеть, какие объекты групповой политики применяются к системе.

Если вы считаете, что объект групповой политики все еще задействован, используйте фильтр WMI, чтобы предотвратить применение объектов групповой политики.

Также обратите внимание, что на уровне сайта могут применяться объекты групповой политики, но вы увидите их в выводе gpresult.

Если вы можете ограничить блокировки с помощью уменьшения количества GPO, то добавляйте их в OU по одному, чтобы найти тот, который является частью причины. Затем исследуйте этот объект групповой политики, чтобы найти разрешение.

Также вот список вещей, которые я проверяю, когда аккаунт блокируется, и я уже знаю систему, из которой он исходит. Службы Запланированные задачи Подключенные диски Веб-приложения Консоль виртуальной машины KVM-консоль Сеансы RDP Сценарии Вспомогательные приложения PW Подключение через VPN Другие устройства, которые подключаются к электронной почте Инструменты удаленного рабочего стола Приложения, на которых выполняется диспетчер учетных данных