Comment trouver l'origine 
du verrouillage d'un compte

{{ firstError }}
Nous nous chargeons de la sécurité de vos données.
Politique de confidentialité
Solution native Netwrix Auditor for Active Directory
Solution native
Netwrix Auditor for Active Directory
Steps
  1. Ouvrez le Powershell ISE sur votre contrôleur de domaine → exécutez le script Powershell suivant :

Import-Module ActiveDirectory
$UserName = Read-Host "Please enter username"
#Get main DC
$PDC = (Get-ADDomainController -Filter * | Where-Object {$_.OperationMasterRoles -contains "PDCEmulator"})
#Get user info
$UserInfo = Get-ADUser -Identity $UserName
#Search PDC for lockout events with ID 4740
$LockedOutEvents = Get-WinEvent -ComputerName $PDCEmulator.HostName -FilterHashtable @{LogName='Security';Id=4740} -ErrorAction Stop | Sort-Object -Property TimeCreated -Descending
#Parse and filter out lockout events
Foreach($Event in $LockedOutEvents)
  {
    If($Event | Where {$_.Properties[2].value -match $UserInfo.SID.Value})
    {

      $Event | Select-Object -Property @(
        @{Label = 'User'; Expression = {$_.Properties[0].Value}}
        @{Label = 'DomainController'; Expression = {$_.MachineName}}
        @{Label = 'EventId'; Expression = {$_.Id}}
        @{Label = 'LockoutTimeStamp'; Expression = {$_.TimeCreated}}
        @{Label = 'Message'; Expression = {$_.Message -split "`r" | Select -First 1}}
        @{Label = 'LockoutSource'; Expression = {$_.Properties[1].Value}}
      )

    }}

  1. Exemple de rapport :
Solution native - Comment trouver l'origine du verrouillage d'un compte 1
  1. Exécuter Netwrix Auditor → Naviguer jusqu'à "Search" → Spécifier les critères suivants :
    • Filtre – "What"
      Opérateur – "Contains"
      Valeur – "<nom d'utilisateur du compte>"
    • Filtre – "Details"
      Opérateur – "Contains"
      Valeur – "Locked out"
  2. Cliquez sur "Search" et consultez les résultats.
Netwrix - Comment trouver l'origine du verrouillage d'un compte 1

Retrouvez l’origine et la justification d’un verrouillage de compte avec PowerShell ou Netwrix Auditor

Un verrouillage de compte faisant suite à plusieurs tentatives d’authentification infructueuses est une politique courante dans les environnements Microsoft Windows. Les verrouillages peuvent avoir plusieurs causes : utilisateur saisissant un mauvais mot de passe, informations d’identification en cache utilisées par un service ayant expiré, erreurs de réplication de compte Active Directory, mappages incorrects de lecteurs partagés, sessions de terminal déconnectées sur un serveur Windows ou appareil mobile accédant à Exchange Server, etc.

Avant de déverrouiller un compte, vous devez trouver la raison du verrouillage, afin de pouvoir atténuer les risques de sécurité et éviter que le même problème ne se reproduise. PowerShell peut s’avérer utile pour déterminer la raison du verrouillage d’un compte et son origine ; le script ci-dessus permet de rechercher les verrouillages liés à un compte utilisateur unique en examinant tous les événements dont l’ID est 4740 dans le journal de sécurité. Il fournit les détails nécessaires à une enquête plus approfondie : l’ordinateur sur lequel le compte a été verrouillé et l’heure du verrouillage.

Si PowerShell vous rebute, Netwrix Auditor vous propose deux moyens pratiques de trouver l’origine des verrouillages de comptes. Vous pouvez en toute facilité enquêter de manière approfondie sur un incident particulier grâce à une recherche interactive, comme illustré ci-dessus, ou examiner tous les verrouillages de comptes de tous les utilisateurs sur tous les contrôleurs de domaine de votre environnement dans un seul rapport prédéfini.

Livres similaires