iT邦幫忙

0

公司網域最大管理者一直被停用

大家好 其實就是上禮拜的問題
因為之前被猜到密碼,所以有改過密碼開始出現這問題

網域最大管理者過一段時間就會被停掉
都變成要開另一個管理帳號進去重開
有三台DC主機
查看事件紀錄器都無法查到到底是誰在登入
4740 4625 4771 4772 4777 都沒有關於誰在用管理權限帳號登入的事情
難道真得要把網域管理帳號整個換掉嗎?

ks1217 iT邦研究生 5 級 ‧ 2019-06-05 17:56:58 檢舉
兩個方向建議
1. 找一下哪些帳號在 Administrators and Domain admins群組內,
把不需要的帳號停掉, 並修改密碼,
2. 有可能是某些應用程式使用了舊的帳號密碼做驗證, 而錯誤幾次後帳號就會被鎖住.
以上建議
假如 Administrator 一直被TRY,那請更名吧,在系統原則或是用GPO去設定
很多中大型的資安規範內是不能有 Administrator 這個帳戶名稱,必須要做更改的
還有,更改後,千萬不要在用戶端使用這個更名後的帳戶,有可能會被記錄
建議是多開幾個不同網域功能的帳戶,例如加入網域就只能加入網域而已
多看點書吧,這些都是基本觀念
pehsin iT邦新手 5 級 ‧ 2019-06-06 09:36:45 檢舉
>>ks1217 有限制目標了 大概抓到問題

>>窮嘶發發發
因為很多系統都是用這組帳號 更之前的是因為當初公司沒有硬性規定要用網域
導致很多服務是建立在本機的ADMIN 發生事情後有停
結果一堆部門就開始哇哇叫...

1 個回答

7
raytracy
iT邦大神 1 級 ‧ 2019-06-05 17:21:56

開 NetLogon debug 出來看:
How to Find Computer Locking Active Directory Account

對了, Logon event 的 audit 有打開嗎?

免費版工具可以試試看:
Windows Active Directory Auditing in Real-Time

pehsin iT邦新手 5 級 ‧ 2019-06-06 09:35:02 檢舉

好的 我試試看 謝謝您

我要發表回答

立即登入回答