Назад | Перейти на главную страницу

Событие безопасности «Аккаунт заблокирован» в полночь.

Последние три ночи в журнале было зарегистрировано событие с кодом 539 ... о моей учетной записи:

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITY\SYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
    Reason:     Account locked out
    User Name:  MyUser
    Domain: MYDOMAIN
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   SERVERNAME
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port:    -

Всегда в пределах получаса до полуночи. Перед этим нет попыток входа в систему. Сразу после него (в ту же секунду) идет запись об успешном аудите:

Logon attempt using explicit credentials:
 Logged on user:
    User Name:  SERVERNAME$
    Domain:     MYDOMAIN
    Logon ID:       (0x0,0x3E7)
    Logon GUID: -
 User whose credentials were used:
    Target User Name:   MyUser
    Target Domain:  MYDOMAIN
    Target Logon GUID: -

 Target Server Name:    servername.mydomain.lan
 Target Server Info:    servername.mydomain.lan
 Caller Process ID: 2724
 Source Network Address:    -
 Source Port:   -

Идентификатор процесса был одинаковым для всех трех из них, поэтому я поискал его, и прямо сейчас он по крайней мере соответствует службам TCP / IP (Microsoft).

Не думаю, что я изменил какие-либо правила или что-то еще в пятницу. Как мне это интерпретировать?

Блокировка учетной записи может быть проблемой при устранении неполадок. Моя первая рекомендация - получить Инструменты блокировки учетной записи от Microsoft.

Используя эти инструменты, вы можете выяснить, какой из ваших DC фактически блокирует учетную запись. Оттуда вам нужно будет немного подглядывать в журнале безопасности, чтобы выяснить, какой сервер вызывает блокировку, после чего вы сможете выяснить, что на этом сервере блокирует вашу учетную запись.

Скорее всего, это автоматическое событие, например, служба, работающая под вашими учетными данными. Зайдите на сервер и отсортируйте services.msc в поле Logon As и посмотрите, находитесь ли вы там.

У вас есть задача расписания, которая выполняется под вашей учетной записью, которая подключается к общему ресурсу в полночь? Событие с кодом 552 (второе событие) обычно генерируется, когда пользователь (в данном случае система) использует runas для запуска процесса от имени другой учетной записи.

Однако при более внимательном рассмотрении ID входа в систему: (0x0,0x3E7) показывает, что служба является той, которая выполняет олицетворение. Присмотритесь к службам на машине. Вы также можете получить это, если другой компьютер сопоставляет диск с вашими учетными данными, и срок действия сохраненных учетных данных истек. Поскольку сервисом было tcpip, я сейчас ставлю на это свою пятерку.

Возможно, вы установили программу или службу со своим идентификатором пользователя. Скорее всего, это программы резервного копирования или аналогичные услуги / задачи. Вы не можете найти все запланированные задачи в разделе «Запланированные задачи», просмотреть свои автоматизированные службы, IIS, Backup Exec и т. Д.