Windows 2008 R2 gpupdate kullanıcı hesabımı kilitliyor

9

Geçen yıl bir Windows 2008 R2 sunucusu oluşturdum ve yükseltilmiş hesabım günde 10-12 kez kilitlendiğinden beri. Çok fazla araştırma ve testten sonra sunucunun, Grup İlkesini güncellemedeki her başarısız denemede hesabımı kilitlediğini gördüm (yaklaşık her 90 dakikada bir). Web'de başka birinin bunu gördüğünü gösteren hiçbir bilgi bulamadım ve bunu kendim için inanılmaz buluyorum.

Sunucuya her 3 sistem olayı kaydedildiğinde:

Olay Kimliği 14: Kimlik Bilgileri Yöneticisi'nde depolanan parola geçersiz. Bu, kullanıcının bu bilgisayardan veya farklı bir bilgisayardan parolayı değiştirmesinden kaynaklanıyor olabilir. Bu hatayı gidermek için Denetim Masası'nda Kimlik Bilgisi Yöneticisi'ni açın ve kimlik bilgisi contoso \ me parolasını yeniden girin.

Kimlik Bilgisi Yöneticisi'nde giriş yok. Kimlik Bilgisi Yöneticisi hizmetini devre dışı bırakıp bırakmadığım, oturum açmış olsam da olmasam da, oturumu kapatıp açmamam ve profilimi silmek için yerel yönetici hesabı kullanmamdan bağımsız olarak bu olur.

Olay Kimliği 40960: Güvenlik Sistemi, sunucu cifs / ContosoDC.contoso.com için bir kimlik doğrulama hatası algıladı. Kimlik doğrulama protokolü Kerberos hata kodu "Çok fazla geçersiz oturum açma denemesi veya parola değiştirme denemesi istendiği için kullanıcı hesabı otomatik olarak kilitlendi. (0xc0000234)".

-

Olay Kimliği 1058:

Grup İlkesi işlenemedi. Windows, \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini dosyasını bir etki alanı denetleyicisinden okumaya çalıştı ve başarısız oldu. Bu olay çözülene kadar Grup İlkesi ayarları uygulanamayabilir. Bu sorun geçici olabilir ve aşağıdakilerden bir veya daha fazlasından kaynaklanabilir: a) Geçerli etki alanı denetleyicisine Ad Çözümlemesi / Ağ Bağlantısı. b) Dosya Çoğaltma Hizmeti Gecikmesi (başka bir etki alanı denetleyicisinde oluşturulan bir dosya, geçerli etki alanı denetleyicisine çoğaltılmadı). c) Dağıtılmış Dosya Sistemi (DFS) istemcisi devre dışı bırakıldı.

Ben öğeleri kontrol ac, hiçbiri böyle görünüyor.

Bunu, kullanıcı hesabının kilitli olmadığını, gpupdate'i sunucuda çalıştırarak ve ardından hemen kilitlenen kullanıcı hesabını yeniden kontrol ederek iyice test ettim. Tüm kilitleme işlemlerinin bu belirli sunucudan kaynaklandığını göstermek için kilitleme araçlarını kullandım. Kullanıcı hesabının ilişkili bir e-posta adresi yok ve bilinen kilitlenme sorunlarının olağan dizisini kapsamlı bir şekilde araştırdım.

Benim için ipucu var mı? Bu üretim sunucusunu devralmaya ve bilgisayar nesnesini AD'de sıfırlamaya hazırlanıyorum, ancak yardımcı olacağını bilmiyorum.

windows-server-2008-r2  group-policy  active-directory 
Windows Sunucu İşlemleri
kaynak
2
Kullanıcı adınızla bir hizmet ayarınız var mı? Bağlantısı kesilmiş bir RDP oturumu ne olacak? Bunları hangi sırayla alıyorsunuz? 40960 kilitleme işlemi olduğunu tahmin ediyorum ve gerisi bunun bir sonucudur.
Nixphoe

Yanıtlar:

8

Görünüşe göre, kimlik bilgisi yöneticisinde görünmeyen şifreler olabilir. Veya bu bağlantıyı alıntılamak için :

Normal Kimlik Bilgisi Yöneticisi görünümünde görülemeyen SYSTEM bağlamında depolanabilen parolalar vardır.

Http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx adresinden PsExec.exe dosyasını indirin ve C: \ Windows \ System32 dizinine kopyalayın.

Bir komut isteminden şunu çalıştırın: psexec -i -s -d cmd.exe

Yeni DOS penceresinden çalıştırın: rundll32 keymgr.dll,KRShowKeyMgr

Kayıtlı Kullanıcı Adları ve Parolalar listesinde görünen tüm öğeleri kaldırın. Bilgisayarı yeniden başlatın.

Umarım, bu sorununuzu çözecektir.

Katherine Villyard
kaynak
1
Keşke size birden fazla oy verebilsem. Böyle kaydedilmiş kimlik bilgileri için SYSTEM hesabının bağlamına bakmayı hiç düşünmezdim.
bshacklett
1

Kimlik bilgisi yöneticisi yardımcı olmazsa, sistemi test etmek için GPO'su olmadan bir OU'ya koymayı denerdim.

Sorun devam ederse, varsayılan etki alanı GPO'su, tüm etki alanı için geçerli olan veya GPO ile ilgili olmayan bir GPO ile ilgilidir. Her iki durumda da bu arama kapsamını sınırlamaya yardımcı olabilir.

Bir cmd isteminden değişiklikleri beklemek zorunda kalmadan test etmek için gpupdate ve sisteme hangi GPO'ların uygulandığını görmek için gpresult / R kullanın.

GPO'nun hâlâ dahil olduğunu düşünüyorsanız GPO'ların uygulanmasını önlemek için WMI filtresini kullanın.

Ayrıca site düzeyinde uygulanan GPO'lar olabileceğini, ancak gpresult çıktısında göreceğinizi göreceksiniz.

Kilitlenmeleri GPO'ları azaltarak sınırlandırabiliyorsanız, nedenin bir parçası olanı bulmak için bunları bir kerede OU'ya ekleyin. Daha sonra çözümü bulmak için GPO'yu araştırın.

Ayrıca burada hesap kilitlendiğinde kontrol ettiğim şeylerin bir listesi ve zaten geldiği sistemi biliyorum. Hizmetler Zamanlanmış Görevler Eşlenen sürücüler Web uygulamaları VM konsolu KVM konsolu RDP oturumları Komut dosyaları PW yardımcı uygulamaları VPN bağlantısı E-postaya bağlanan diğer aygıtlar Uzak Masaüstü araçları Kimlik Bilgisi Yöneticisi'ni çalıştıran uygulamalar

Jason Landstrom
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.