Windows 2008 R2 gpupdate mengunci akun pengguna saya


9

Saya membangun server Windows 2008 R2 tahun lalu, dan sejak akun tinggi saya mengunci 10-12 kali sehari. Setelah banyak penelitian dan pengujian saya menemukan bahwa server mengunci akun saya di setiap upaya gagal untuk memperbarui Kebijakan Grup (sekitar setiap 90 menit). Saya tidak menemukan informasi di web yang menunjukkan orang lain telah melihat ini, dan saya merasa itu tidak dapat dipercaya.

Setiap kali 3 Peristiwa sistem dicatat di server:

ID Peristiwa 14: Kata sandi yang disimpan di Credential Manager tidak valid. Ini mungkin disebabkan oleh pengguna mengubah kata sandi dari komputer ini atau komputer lain. Untuk mengatasi kesalahan ini, buka Manajer Kredensial di Panel Kontrol, dan masukkan kembali kata sandi untuk contoso kredensial \ me.

Tidak ada entri di Credential Manager. Ini terjadi terlepas dari apakah saya menonaktifkan layanan Credential Manager, apakah saya masuk atau tidak, apakah saya keluar atau tidak dan menggunakan akun admin lokal untuk menghapus profil saya.

ID Peristiwa 40960: Sistem Keamanan mendeteksi kesalahan otentikasi untuk server cifs / ContosoDC.contoso.com. Kode kegagalan dari protokol otentikasi Kerberos adalah "Akun pengguna telah dikunci secara otomatis karena terlalu banyak upaya masuk yang tidak valid atau upaya penggantian kata sandi telah diminta. (0xc0000234)".

-

ID Peristiwa 1058:

Pemrosesan Kebijakan Grup gagal. Windows berusaha membaca file \ contoso.com \ SysVol \ contoso.com \ Kebijakan {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini dari pengontrol domain dan tidak berhasil. Pengaturan Kebijakan Grup mungkin tidak diterapkan sampai acara ini diselesaikan. Masalah ini mungkin bersifat sementara dan dapat disebabkan oleh satu atau lebih hal berikut ini: a) Resolusi Nama / Konektivitas Jaringan ke pengontrol domain saat ini. b) Latensi Layanan Replikasi File (file yang dibuat pada pengontrol domain lain belum direplikasi ke pengontrol domain saat ini). c) Klien Sistem File Terdistribusi (DFS) telah dinonaktifkan.

Saya memeriksa item ac, sepertinya tidak ada yang terjadi.

Saya telah menguji ini secara menyeluruh dengan memeriksa bahwa akun pengguna tidak dikunci, menjalankan gpupdate di server, dan kemudian memeriksa kembali akun pengguna, yang segera mengunci. Saya telah menggunakan alat penguncian untuk mengungkapkan bahwa semua penguncian berasal dari server khusus ini. Akun pengguna tidak memiliki alamat email yang terkait, dan saya telah meneliti secara ekstensif susunan masalah penguncian yang dikenal.

Ada petunjuk untuk saya? Saya bersiap-siap untuk menghapus server produksi ini dan mengatur ulang objek komputernya dalam AD, tetapi saya tidak tahu bahwa itu akan membantu.


2
Apakah Anda memiliki pengaturan layanan dengan nama pengguna Anda? Bagaimana dengan sesi RDP yang terputus? Anda memesan apa? Saya kira 40.960 adalah proses penguncian dan sisanya adalah hasil dari itu.
Nixphoe

Jawaban:


8

Rupanya, mungkin ada kata sandi di pengelola kredensial yang tidak muncul. Atau, mengutip tautan ini :

Ada kata sandi yang dapat disimpan dalam konteks SISTEM yang tidak dapat dilihat dalam tampilan Pengelola Kredensial normal.

Unduh PsExec.exe dari http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx dan salin ke C: \ Windows \ System32.

Dari menjalankan command prompt: psexec -i -s -d cmd.exe

Dari menjalankan jendela DOS baru: rundll32 keymgr.dll,KRShowKeyMgr

Hapus semua item yang muncul dalam daftar Nama Pengguna dan Kata Sandi Tersimpan. Nyalakan ulang komputernya.

Semoga itu akan menyelesaikan masalah Anda.


1
Saya berharap saya bisa memberi Anda lebih dari satu suara. Saya tidak akan pernah berpikir untuk mencari dalam konteks akun SISTEM untuk kredensial yang disimpan seperti ini.
bshacklett

1

Jika manajer kredensial tidak membantu, saya akan mencoba menempatkan sistem dalam OU tanpa GPO untuk diuji.

Jika masalah masih terjadi terkait dengan domain default GPO, GPO yang berlaku untuk seluruh domain atau tidak terkait GPO. Either way ini dapat membantu membatasi ruang lingkup untuk mencari.

Dari prompt cmd, gunakan gpupdate untuk menguji perubahan tanpa harus menunggu dan gpresult / R untuk melihat GPO apa yang diterapkan pada sistem.

Jika Anda berpikir bahwa GPO masih terlibat, gunakan filter WMI untuk mencegah penerapan GPO.

Juga perhatikan bahwa mungkin ada GPO yang diterapkan di tingkat situs, tetapi Anda akan melihatnya di output gpresult.

Jika Anda dapat membatasi penguncian dengan mengurangi GPO, kemudian tambahkan ke OU satu per satu untuk menemukan yang merupakan penyebabnya. Kemudian teliti GPO untuk menemukan resolusi.

Di sini juga ada daftar hal yang saya periksa ketika akun terkunci dan saya sudah tahu sistem asalnya. Layanan Tugas Terjadwal Drive yang dipetakan Aplikasi web Konsol VM Konsol KVM Sesi RDP Script Aplikasi pembantu PW Koneksi VPN Perangkat lain yang tersambung ke email Alat Remote Desktop Aplikasi yang menjalankan Credential Manager

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.