Почему некоторые AD-учетки периодически блокируются, хотя они бессрочные?

Question

[shupike]

Всем добрый день! Подскажите, плиз - DC на Windows Server 2019, клиенты через OpenVPN на Windows 11 Pro. С какого-то момента некоторые учетки по непонятным причинам стали блокироваться. Несколько раз уже разблокировал вручную в AD, причем учетки бессрочные. Сегодня опять с утра началось - вот нашел в логах по одной из проблемных учеток такое:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 16.10.2024 9:03:42
Event ID: 4776
Task Category: Credential Validation
Level: Information
Keywords: Audit Failure
User: N/A
Computer: dc1.company.ru
Description:
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: user1@gpbmobile.ru
Source Workstation: PCTEMP
Error Code: 0xC0000234
Event Xml:



4776
0
0
14336
0
0x8010000000000000

52540007


Security
dc1.company.ru



MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
user1@gpbmobile.ru
PCTEMP
0xc0000234



Я сменил пароль этой учетке, после чего удалось войти, но осталось непонятной причина блокировки. Неужели сотрудник просто несколько раз неправильно набирает пароль?
Вот событие успешного входа после замены пароля:

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 16.10.2024 9:27:34
Event ID: 4776
Task Category: Credential Validation
Level: Information
Keywords: Audit Success
User: N/A
Computer: dc1.company.ru
Description:
The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: user1
Source Workstation: PCTEMP
Error Code: 0x0
Event Xml:



4776
0
0
14336
0
0x8020000000000000

52544325


Security
dc1.company.ru



MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
user1
PCTEMP
0x0

Comments

[Ziptar]

Неужели сотрудник просто несколько раз неправильно набирает пароль?

Да нееет, ну не может такого быть. Чего удивительного то?

[shupike]

Ziptar, а это именно об этом код ошибки? Ну чтоб было что предъявить :-)

[Ziptar]

shupike, ошибка говорит об одной неудачной попытке входа пользователя user1@gpbmobile.ru с компьютера PCTEMP с использованием логина и пароля
Поведение по-умолчанию - блокировка учётной записи пользователя, если произведено несколько неудачных попыток входа, попадающих в определённый временной интервал. А так от политик зависит.
Чтобы было что "предъявлять" - это надо найти все соответствующие события в логе. Да и стоит ли "предъявлять" в любом случае? Может у пользователя клавиша залипает на клавиатуре.

[shupike]

Ziptar, Понял, спасибо.

[Ziptar]

shupike, но это не обязательно попытка входа в систему. Это может при любой NTLM аутентификации быть. В домене, по идее, после входа в систему должен быть керберос везде, но не обязательно. Мало ли какой там софт у вас работает.
Изначально я к тому, что это вполне может быть и несколько неправильных вводов пароля при входе в систему, и удивляться тут особо нечему.

Answer 1

[Роман Безруков]

Ищем источник блокировки учетной записи пользовате...