Burak Çalışkan

Active Directory Hesabının Nereden Kilitlendiğini Bulmak

  • 8 sene önce, Burak Çalışkan tarafından yazılmıştır.
  • Active Directory Hesabının Nereden Kilitlendiğini Bulmak için yorumlar kapalı
  • Windows Server

Active Directory ortamında belirlediğimiz parola kurallarına göre kullanıcılarda hesap kilitlenme olaylarına her gün şahit oluruz. İşimizi kolaylaştırması için otomatik çalışan ve belirli saatler arasında tüm kilitli hesapları açan batch dosyaları da oluşturabiliriz. Fakat bu hesap kilitlenme durumları aşırı hal alınca Log görüntüleme Event Viewer tarafında kontrol etmemiz gereken bir nokta bulunmaktadır.

Server üzerinde Event Viewer’ı açarak , Filter Current Log seçip Event ID numarasını 4740 olarak seçip filtreleyelim.

Filtrelenen sonuçları teker teker gezerek kilitlenen hesabı bulup Call Computer Name kısmında yazan hostname i kontrol etmemiz gerekmektedir. Call Computer Name bize hesabın hangi cihaz üzerinden kilitlendiğini gösterecektir. O sunucu, PC, üzerine login olup tekrar LogOff olduğumuzda kilitlenme sorunumuz ortadan kalkacaktır.

 

Bu  mekanizma bizim sunucu tarafında kontrol etmemiz gereken bir alan. Bunlar dışında kontrol etmemiz gereken ve kullanıcıyı yönlendirmemiz gereken alanlar;

  • Zamanlanmış görev (Schedule Task) için kullanılan hesap
  • Farklı server, bilgisayar yada uygulamalar üzerinde çalışan işlemler için tanımlanmış hesaplar
  • Kullanıcı kimlik denetimi yada doğrulaması yapan merkezi programlar (AD doğrulaması, yada   uygulama katmanı denetimi,vb)
  • Bilgisayarınıza map edilmiş ağ paylaşımları
  • Farklı Çalıştır (RunAs) ile çalışan kısa yollar
  • Service Account olarak tanımlanmış hesaplar
  • Hesap şifrenizi değiştirdikten sonra hesabınızın tanımlı olduğu mobil cihazlar
  • Kullanıcı bilgisayarına bulaşmış bir zararlı yazılım
  • ActiveSync ile çalışan mobile cihazlar üzerinde kullanılan hesaplar.