Назад | Перейти на главную страницу

Учетная запись Active Directory блокируется без видимой причины

Я устранял эту проблему в течение двух лет, и она продолжает возвращаться. Наши пользователи Mac проходят аутентификацию на нашем сервере Active Directory, который работает под управлением Windows Server 2008 Standard. У одной из пользователей Mac, в частности, была повторяющаяся проблема, когда она не могла войти в систему и заставляла ее учетную запись AD блокироваться до того, как было достигнуто максимальное количество попыток входа. Проблема возникла снова две недели назад, и я изменил настройки ее сети и Active Directory. Я думал, что проблема исправлена, но на прошлой неделе я был в офисе раньше и решил установить обновления для Mac, которые требовали перезагрузки. Когда через двадцать минут пользователь попыталась войти в систему, ее учетная запись была заблокирована. Ее журнал безопасности показывает это сообщение: «authorizationhost [96] Не удалось аутентифицировать пользователя (tDirStatus: -14090)».

Это повторилось сегодня утром, хотя я ничего не делал с ее компьютером, и она попыталась войти через 1,5 часа после включения компьютера.

Это также произошло после того, как я успешно вошел в систему с ее идентификатором и паролем, только чтобы заблокировать учетную запись после выхода из системы.

Единственное, к чему он пытается подключиться, - это LDAP на нашем AD PDC, но я никогда не вводил никаких учетных данных, и ни у кого больше нет этой проблемы.

На всех компьютерах Mac установлен Snow Leopard 10.6.7, и все они имеют одинаковые настройки сети и AD, но этот конкретный Mac по-прежнему имеет проблему.

Возможно, у нее в Связке ключей хранится старый или неверный пароль. Это может быть связано с приложением, веб-страницей или процессом, который при вызове вызывает блокировку учетной записи. Я бы посоветовал проверить это и удалить из ее Связки ключей все записи, содержащие ваши учетные данные AD (или даже те, которые выглядят так, как они есть).

У меня была похожая проблема с пользователем несколько лет назад. Его аккаунт был заблокирован случайным образом. В этой компании у нас был 30-дневный срок действия пароля, и он настроил свою учетную запись электронной почты Exchange на своем iPhone. Он изменил свой пароль, когда его попросили, но его iPhone, все еще использующий старые учетные данные, блокировал его учетную запись каждый раз, когда пытался получить почту.

Итак, если я правильно прочитал, вы никогда не видели этого сами, и это продолжает происходить. Иногда сразу после ухода? Возможно ли, что пользователь проблематичный и никогда не сможет вспомнить свой пароль? Вы смотрели в консоли, чтобы точно узнать, сколько существует неудачных попыток входа в систему?

AD не заблокирует учетную запись, если только она не сработала x раз в течение x минут (установлено политикой паролей). Если на Mac нет автоматизированного / сохраненного процесса, вызывающего это, то все, что остается, - это пользователь.

Я вижу две основные причины блокировки учетных записей, помимо очевидной причины, когда пользователь вводит неправильный пароль:

  • Вирус / вредоносное ПО (может быть на любом компьютере) пытается получить доступ к учетной записи с помощью грубой силы. Это должно быть очевидно в журналах событий сервера Windows.
  • Доступ к общему ресурсу с использованием старого пароля. Это особенно часто встречается при использовании компьютеров, отличных от Windows, для доступа к ресурсам Windows с запомненными учетными данными.
  • Возможно ли, что пользователь настроил другой почтовый клиент или другие инструменты, которые могут пытаться аутентифицироваться?

  • Или может существовать сеанс Citrix или RDP в удаленной системе?

  • Можете ли вы дать ей на время другой Mac, чтобы вы могли определить, Mac это или ее учетная запись

Я не знаю, как osx работает с ldap, но когда у меня возникают странные проблемы с osx, я обычно могу понять, запустив plutil Вы можете попытаться найти любые ошибки в файлах plist для пользователя в ~ / Library / Preferences внутри этого каталога, который вы можете запустить plutil -s *.plist это должно сообщать обо всех ошибках в этих файлах конфигурации. Вы можете сделать то же самое в системной библиотеке. Удачи.