Windows 2008 R2 gpupdate блокує мій обліковий запис користувача

9

Ми створили сервер Windows 2008 R2 минулого року, і з тих пір мій обліковий запис блокується 10-12 разів на день. Після довгих досліджень та тестувань я виявив, що сервер блокує мій рахунок при кожній невдалій спробі оновити групову політику (приблизно кожні 90 хвилин). Я не знайшов в Інтернеті жодної інформації, яка б вказувала на те, що хтось ще бачив це, і мені це здається неймовірним.

Кожен раз, коли на сервері реєструються 3 системних події:

Ідентифікатор події 14: Пароль, збережений у диспетчері облікових даних, недійсний. Це може бути викликано тим, що користувач змінює пароль з цього комп'ютера або іншого комп’ютера. Щоб усунути цю помилку, відкрийте диспетчера довіри на панелі керування та введіть пароль для контенту облікових даних \ мене.

Записів у Менеджері облікових записів немає. Це трапляється, якщо я відключую службу Credential Manager, незалежно від того, я ввійшов чи ні, виходжу чи ні та використовую локальний обліковий запис адміністратора, щоб видалити свій профіль.

Ідентифікатор події 40960: Система безпеки виявила помилку аутентифікації для сервера cifs / ContosoDC.contoso.com. Код відмови в протоколі автентифікації Kerberos був "Обліковий запис користувача автоматично заблоковано, оскільки запитується занадто багато недійсних спроб входу або спроби зміни пароля. (0xc0000234)".

-

Ідентифікатор події 1058:

Не вдалося обробити групову політику. Windows намагалася прочитати файл \ contoso.com \ SysVol \ contoso.com \ Політика {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini з контролера домену і не виявилася успішною. Налаштування групової політики не можна застосовувати, поки ця подія не буде вирішена. Ця проблема може бути тимчасовою і може бути викликана одним або кількома з наступного: b) Затримка служби реплікації файлів (файл, створений на іншому контролері домену, не реплікується на поточний контролер домену). c) Клієнт розподіленої файлової системи (DFS) вимкнено.

Я перевірив елементи змінного струму, як здається, не так.

Я ретельно перевірив це, перевіривши, чи не заблокований обліковий запис користувача, запустивши gpupdate на сервері, а потім повторно перевірив обліковий запис користувача, який негайно блокується. Я використовував інструменти блокування, щоб виявити, що всі блокування походять з цього конкретного сервера. У облікового запису користувача немає пов’язаної адреси електронної пошти, і я широко вивчив звичайний масив відомих проблем блокування.

Якісь підказки для мене? Я готуюся зняти цей виробничий сервер і скинути його комп'ютерний об’єкт в AD, але не знаю, що це допоможе.

windows-server-2008-r2  group-policy  active-directory 
Windows Server Ops
джерело
2
Чи є у вас налаштування служби зі своїм іменем користувача? А як щодо відключеного сеансу RDP? У якому порядку ви їх отримуєте? Я б здогадався, що 40960 - це процес блокування, а решта - результат цього.
Ніксфо

Відповіді:

8

Мабуть, у менеджера облікових даних можуть бути паролі, які не відображаються. Або процитувати це посилання :

Існують паролі, які можна зберігати в контексті СИСТЕМИ, які неможливо побачити в звичайному режимі диспетчера облікових даних.

Завантажте PsExec.exe з http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx та скопіюйте його на C: \ Windows \ System32.

З командного рядка запустіть: psexec -i -s -d cmd.exe

З нового вікна DOS запустіть: rundll32 keymgr.dll,KRShowKeyMgr

Видаліть усі елементи, що відображаються у списку збережених імен користувачів та паролів. Перезавантажте комп'ютер.

Сподіваємось, це вирішить вашу проблему.

Кетрін Вільярд
джерело
1
Я б хотів, щоб я міг дати вам більше одного внеску. Мені ніколи б не спадало на думку шукати в контексті облікового запису SYSTEM такі збережені облікові дані.
бшаклетт
1

Якщо менеджер облікових даних не допоможе, я б спробував поставити систему в ОУ без будь-яких GPO для тестування.

Якщо проблема все-таки виникає, вона пов’язана з GPO домену за замовчуванням, GPO, який застосовується до всього домену або не пов'язаний з GPO. У будь-якому випадку це може допомогти обмежити область пошуку.

З підказки cmd використовуйте gpupdate для тестування змін без необхідності чекати та gpresult / R, щоб побачити, які GPO застосовані до системи.

Якщо ви вважаєте, що GPO все ще залучений, використовуйте фільтр WMI, щоб запобігти застосуванню GPO.

Також зверніть увагу, що на рівні сайту можуть бути застосовані групові групи, але ви побачите їх у виведенні gpresult.

Якщо вам вдасться обмежити блокування, зменшивши групову групу, то додайте їх до ОУ одночасно, щоб знайти той, який є частиною причини. Потім досліджуйте цю групову організацію, щоб знайти дозвіл.

Також ось список речей, які я перевіряю, коли обліковий запис блокується, і я вже знаю систему, з якої він надходить. Служби Заплановані завдання Картовані накопичувачі Веб-додатки Консоль VM-консолі KVM-консолі RDP-сеанси Сценарії Програми помічників PW VPN-з'єднання Інші пристрої, що підключаються до електронної пошти Інструменти віддаленого робочого столу Програми, які працюють із менеджером довіри

Джейсон Лендстром
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.