Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?
Итак, не можем войти в Windows, потому что на экране блокировки видим это.
Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.
Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.
Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.
Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.
При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.
Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.
А время блокировки самой учётной записи, наоборот, увеличить.
Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft.
Разблокировать заблокированную учётную запись можно несколькими путями:
• Дождаться завершения времени блокировки. Но здесь есть нюанс: сколько времени нужно ждать, система не уведомляет. Об этом знает только администратор компьютера;
• Войти в систему с учётки администратора и снять блокировку;
• Если доступ к учётке администратора невозможен, снять блокировку, загрузившись со съёмного устройства и подправив кое-что в реестре Windows.
Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:
lusrmgr.msc
В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.
В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.
Пробуем войти в свою учётку.
- Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.
Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.
На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:
regedit
Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».
В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.
Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.
Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:
777 – SAM – Domains – Account – Users – Names
Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания — с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».
Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.
В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.
Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».
Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».
Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия. Какие – читаем здесь.
Обновлено 05.01.2023
net stop netlogon && net start netlogonДобрый день! Уважаемые читатели и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами рассматривали границы применения групп Active Directory, и надеюсь вы разобрались, где и какие следует использовать. Сегодня я хочу рассмотреть, очень частую и жизненную ситуацию, которая есть в любой доменной среде, а именно блокировка учетной записи Windows в Active Directory. Данную проблему вы легко встретите на предприятиях, где есть свои политики PSO и политики смены паролей. Так, что давайте прокачаем свои знания и научимся разбираться в данной ситуации.
Причина блокировки пользователя Active Directory
Давайте разбираться, какие существуют причины блокирования учетных записей пользователей в Active Directory. Как я и говорил выше, данная ситуация существует в компаниях, где есть политики паролей, которые подразумевают блокировку учетной записи при вводе определенного количества не правильных паролей, это правильно с точки зрения безопасности и выявления таких случаев, когда кто-то пытается скомпрометировать ваши ресурсы.
Вот так вот выглядит сообщение о блокировке:
Учетная запись пользователя заблокирована и не может быть использована для входа в сеть (The referenced account is currently locked out and may not be logged on to)
Как видите в моем примере, пользователь по имени Барбоскин Геннадий Викторович не может начать работать, так как залочен.
Если в оснастке Active Directory — Пользователи и компьютеры, посмотреть свойства заблокированной учетной записи на вкладке «Учетная запись», то вы обнаружите статус:
Разблокируйте учетную запись. Учетная запись на этом контроллере домена Active Directory на данный момент заблокирована (Unlock account. This account is currently locked out on this Active Directory Domain Controller).
Ставим галку и разблокируем учетную запись. После этого нужно выявлять причины.
Из основных причин блокировки я могу выделить:
- Идет подбор пароля, так называемый брутфорс, что в итоге приводит к блокировкам
- Бывают моменты, что человек пришел из отпуска и напрочь забыл свой пароль, ввел его несколько раз не правильно, чем вызвал блокирование
- После изменения пароля, у пользователя остались старые подключения WIFI на компьютере или телефоне со старыми учетными данными, которые пытаются автоматически подключиться к сервисам компании, это является основной причиной блокировки в Active Directory
- Как и в случае с WIFI, у пользователя после смены пароля, могут быть закэшированные, старые пароли в доступах к сетевым шарам, Outlook календарям и другим программам, которые однажды попросили ввести логин и пароль.
- Иногда бывают задания в планировщике Windows, которые запускались от имени пользователя, а не системы
- Забытые сессии на удаленном рабочем столе, был у меня случай когда у пользователя были права и он подключался по RDP к серверу. потом у него права забрали, а сессию разлогинить забыли, в итоге у него меняется пароль и его начинает каждый день по 5-10 раз блокировать, пака сессию не убили, проблема была актуальной.
- Сохраненные пароли в браузерах
- Службы работающие из под доменной учетной записи
Где настраивается политика блокировки учетных записей в домене
По рекомендациям компании Microsoft, политику блокировки учетной записи Windows настраивают на уровне домена, и чаще всего используют для этого уже имеющуюся политику «Default Domain Policy». Открываем редактор групповой политики и щелкаем правым кликом мыши по политике «Default Domain Policy», из контекстного меню выберите пункт «Изменить».
Переходим с вами по пути: Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей (Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy)
Тут в политике будет три пункта:
- Время до сброса счетчика блокировки (Reset account lockout counter after) — в данном параметре задается, через какое количество времени система обнулит счетчик неудачных попыток авторизации. (Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. ). В моем примере я настроил политику «Время до сброса счетчика блокировки» на 10 минут, думаю больше не стоит.
- Пороговое значение блокировки (Account lockout threshold) — Тут вы задаете, сколько будет допустимых неправильных попыток ввода, после превышения которых учетная запись Windows будет заблокирована (Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему). Я в своей политике задал пороговое значение блокировки равным 5-ти, этого думаю хватит, чтобы правильно ввести свой пароль.
- Продолжительность блокировки учетной записи (Account lockout duration) — ну тут все просто, собственно время блокировки учетной записи Windows в Active Directory. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.
Как выяснить причину блокировки учетной записи
Выше я вас рассказал, из-за чего может все лочиться, теперь нужно выяснить с какого компьютера или устройств, это происходит. Ко мне на работе за неделю попадает 5-7 заявок с подобным вопросом, пользователь сменил пароль и у него началась веселая игра под названием угадайка, где я оставил свои старые данные, по которым меня банит контроллер домена. Чтобы однозначно ответить на этот вопрос вам как системному администратору необходимо настроить специальную политику аудита, призванную следить за соответствующими событиями по которым вы сможете дать однозначный ответ по причинам блокировок. По умолчанию данный вид аудита не настроен.
Про аудит Active Directory я подробно рассказывал, можете посмотреть по ссылке, тут я приведу легкую его выдержку, для полноты статьи. Нам нужно включить политику аудита входа, на уровне домена. (Так же вы можете подробно почитать про расширенный аудит, дающий более тонкие настройки https://technet.microsoft.com/ru-ru/library/mt431761%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396)
Включение политики аудита входа
Открываем редактор групповой политики и находим в нем дефолтную политику «Default Domain Policy», открываем ее и переходим по такому пути.
Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политики аудита
Тут будут такие политики:
- Аудит входа в систему
- Аудит доступа к объектам
- Аудит доступа к службе каталогов
- Аудит изменений политики
- Аудит использования привилегий
- Аудит отслеживания процессов
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями
Нас будет интересовать включение аудита входа в систему, именно данный вид будет генерировать события 4771 и 4624. Открываем ее и ставим галки «Успех и отказ»
Так же советую задать политику аудита событий входа в систему, так же установите «Успех и отказ»
Ну и настроим еще таким же способом «Аудит управления учетными записями«, чтобы мы видели события с кодом 4740.
Когда политика настроена, то вы можете ее принудительно обновить или дождаться автоматического обновления в течении 90-120 минут.
Какие события отслеживать в журнале безопасность
Чтобы отследить устройство вызывающее блокировки учетной записи, нужно понять алгоритм работы данного механизма. Когда кто-то пытается вводить учетные данные в Active Directory, то он идет на ближайший к нему контроллер домена (Кстати выяснить какой контроллер домена вас аутентифицировал можно очень просто, я об этом рассказывал, если интересно, то посмотрите). Данный контроллер домена видит, что пользователь предоставляет некорректные учетные данные и отсылает этот запрос аутентификации на контроллер, который обладает ролью PDC и FSMO. Так как данная роль PDC-эмулятор и отвечает в доменной среде за обработку блокировок учетных записей. Если PDC-эмулятор видит не корректные данные, то он возвращает ответ контроллеру домена, который ему это прислал, что аутентификация не возможна, и в следствии этого генерируется событие 4740, на обоих контроллерах
- 4771 — Это событие возникает каждый раз, когда не удается центром распространения ключей для выдачи Kerberos билетов предоставить билета (TGT). Это может произойти, когда контроллер домена не установлен сертификат для проверки подлинности смарт-карты (например, с помощью «Контроллера домена» или «Проверка подлинности контроллера домена» шаблона), истек срок действия пароля пользователя или неправильный пароль был предоставленные. 4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. (Подробнее про 4771 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4771)
- 4776 — Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Если происходит сбой попытки проверки учетных данных, вы увидите, что событие отказов с значение параметра Код ошибки не равно «0x0» (Подробнее про событие 4476 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4776)
- 4740 — Учетная запись указанного пользователя была заблокирована после нескольких попыток входа (Подробнее про событие 4740 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4740)
- 4662 — Это событие создается только в том случае, если соответствующие SACL настроен для объекта Active Directory и выполнить операцию не удалось (Подробнее https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4662).
- 5136 — Объект службы каталогов был изменен (A directory service object was modified)
Как удобно отслеживать события блокировки
Я приведу примеры, как это делаю я и как это можно автоматизировать и оповещать вас заранее, чем это сделает представитель технической поддержки. Самый правильный вариант, это использование систем мониторинга, таких как SCOM или Zabbix, но если их нет, то можно упростить себе жизнь вот такими утилитами. Могу точно сказать, что у вас в компании, как минимум не один контроллер домена, в противном случае у вас проблемы. Бегать по каждому из контроллеров домена, это не лучший вариант, правильнее будет либо перенаправлять все события на централизованный коллектор или же воспользоваться двумя волшебными утилитами, которые вам упростят жизнь.
Я вам рассказывал про набор утилит от компании Microsoft под названием Active Directory ALTools. Там была утилита LockoutStatus.exe. В задачи которой и входило определение статуса пользовательской учетной записи, заблокирована она или нет, и если до, то на каком контроллере домена. Скачайте ее и запустите. Нажимаете пункт меню «File — Select Target», для того чтобы выбрать логин нужной учетной записи.
В поле «Target User Name» вы указываете логин пользователя, кто подвергся блокировке в Active Directory.
На выходе вы получите отчет по всем контроллерам в домене, о статусе вашей учетной записи. Как видите, мой Барбоскин Геннадий Викторович заблокирован и имеет статус «Locked», видно количество попыток неправильного ввода пароля (Bad Pwd Count) и на каких контроллерах домена, на них мы и будем искать нужные нам события, о которых я говорил выше.
Открываем просмотр событий на нужном контроллере домена. Переходим в журнал «Безопасность (Security)» именно в нем кроется причина блокировки учетной записи Барбоскина Геннадия. Так как событий огромное количество, то нам нужно отфильтровать наш журнал событий. Для этого есть кнопка «Filter Current Log (Фильтр текущего журнала)», она позволит нам выбрать только те события, которые нам нужны.
В поле «Logged (Дата)» указываем за какой срок нужны данные, я укажу 12 часов, и в поле все события, укажем номер ID 4740 и нажимаем «Ок»
Видим нашлось 50 событий, но может быть и больше и чтобы ускорить поиск нужного события, мы воспользуемся поисков, для этого нажмите кнопку «Find (Поиск)»
В поисковом поле указываем нужный вам логин учетной записи Windows и нажимаем поиск, если сообщений много, то он может слегка подвисать, не переживайте по этому поводу.
В итоге у меня нашлось событие с кодом 4740, из которого видна причина блокировки учетной записи. В данном случае это рабочая станция с именем SVTTSETMAIN01, это тестовая виртуальная машина, как видите тут статус «A user account was locked out», можно переходить на эту машину и смотреть в чем там дело.
В событиях 4740 вы можете встреть еще вот такие причины блокировки учетной записи Active Directory, так например у меня имя сервера, где происходит блокирование EXchange, означает, что проблема в Outlook или его календарем. Я вам рассказывал, где кэшируются его данные доступа, в заметка Outlook постоянно запрашивает пароль.
В моей компании используются сервисы Google, такие как G-Sute и общие файловые диски, и вот при смене пароля пользователем, в данных утилитах могут остаться старые данные, в результате чего вы будите видеть в логах в компьютере блокировки имя WORKSTATION. Думаю с событием 4740 все понятно, но оно не всегда показывает подробный источник блокировки, поэтому нужно смотреть событие 4771.
Вот пример блокировки из-за WiFI подключения, об это мне говорит имя компьютера CISCO точки доступа. Как видите причин может быть очень много.
Более подробную причину блокировки учетной записи Windows на покажет событие 4771. Сделаем так же фильтрацию и по нему. Основное сообщение тут «Kerberos pre-authentication failed», обратите внимание тут есть IP-адрес, что уже хорошо, это дополнительная информация, показывающая территориальный источник. В ошибка есть код отказа Kerberos, таблица была представлена выше.
Еще может быть полезным событие с кодом 4776, тут то же будет показано с какой рабочей станции была попытка ввода учетных данных.
Кстати получив IP-адрес вы можете посмотреть его mac адрес на DHCP сервере или же на сетевом оборудовании, например, Cisco, я показывал как там узнать mac-адрес.
Далее с помощью специальных сервисов можно определить, что за производитель у данного mac-адреса, сайтов в интернете полно, которые вам помогу, например, https://2ip.ua/ru/services/information-service/mac-find. Будет полезно с мобильными устройствами.
Еще полезным будет изучение события 4625, там вы можете обнаружить процесс из-за которого происходит блокировка учетных записей.
Если вы у себя в Active Directory используете определение имени системы куда был залогинен пользователь в последний раз, то для вас будет полезно событие IS 5136. Тут в конкретное поле у меня записывается имя компьютера, и вот пробежавшись по таким событиям, я обнаружил, что имя компьютера там бывает разное, что подсказывает, где еще от имени пользователя могут идти попытки с неправильным паролем и как следствие, блокировка учетной записи.
Как видите утилита от компании Mirosoft отлично работает, но можно посмотреть, что-то более удобное, мне нравится утилита Account Lockout Examiner от Netwrix, она бесплатная и позволяет создавать портал для технической поддержки, где они могут видеть кто заблокирован и разблокировать его, а так же причину и она умеет посылать оповещения по электронной почте.
Утилита Account Lockout Examiner проста в установке и потребует от вас две вещи:
- Указание имени домена для поиска событий блокировки учетных записей Windows
- Учетные данные от имени которых будет обращение к контроллерам домена
Через некоторое время вы получите табличку со всем пользователями у кого наблюдаются проблемы с блокировкой учеток. Тут вы увидите столбец «Workstation» в котом вы увидите адрес устройства блокировки, есть поле Bad Pwd Count показывающее количество попыток неправильно введенного пароля и дата последнего ввода. В самом конце вы увидите статусы пользователей Not locked или Locked.
Тут же вы можете через правый клик разблокировать пользователя.
В настройках Account Lockout Examine вы можете указать адрес электронной почты и сервер, для уведомлений, о событиях блокировки пользователей.
Если развернете IIS на данном сервер, где установлена утилита, то сможете создать портал для технической поддержки, где можно делегировать права на разблокировку пользователей.
Поиск компьютера блокирующего пользователя через PowerShell
PowerShell, очень мощное средство позволяющее сделать очень многое, вот пример поиска устройства из-за которого блокируется учетная запись. Открываем PowerShell ISE и вводим код:
$Username = ‘username1’
$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @{
‘Computername’ = $Pdce
‘LogName’ = ‘Security’
‘FilterXPath’ = «*[System[EventID=4740] and EventData[Data[@Name=’TargetUserName’]=’$Username’]]»
}
$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Properties[1].value + ‘ ‘ + $_.TimeCreated}
Единственное не забудьте поменять в $Username = ‘username1’ на своего пользователя, можете скачать уже готовый скрипт у меня. На выходе вы получаете имя компьютера.
Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:
$Username = ‘username1’
Get-ADDomainController -fi * | select -exp hostname | % {
$GweParams = @{
‘Computername’ = $_
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}
$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Computer + " " +$_.Properties[1].value + ' ' + $_.TimeCreated}
}
Еще один вариант скрипта, тут я обращаюсь к конкретному серверу, куда идет форвардинг событий со всех контроллеров домена.
#Задаем кого ищем
$Username = «barboskin.g»
#Сервер
$Server= «SVP.root.pyatilistnik.org»
#Задаем дату, сейчас за последний день
$day = (get-date).AddDays(-1)
#Обращаемся к серверу, ищем ID 4740, последние два события
Get-WinEvent -ComputerName $Server -FilterHashTable @{LogName=»ForwardedEvents»;StartTime=$day; id=»4740″} | Where-Object {$_.Message -like «*$Username*»} | Select -Last 2 | FL
Надеюсь, что мой скромный опыт слегка вам поможет в поиске причин, по которым у вас в домене блокируются учетные записи Active Directory.
Включение ведения расширенного журнала отладки для службы Netlogon (Обновление 04.01.2023)
Январские праздники, идеальное время чтобы забыть пароль, после чего конечно же человека заблокирует. Вот реальный пример, есть коллега отвечающий за работу 1С, потребовалось выполнить какую-то работу в начале января, но сотрудник не смог его учетная запись была заблокирована. В логах видно, что 3от имени учетной записи пользователя в секунду прилетает по несколько неудачных попыток входа, о чем говорит код 0x000006A, а после чего идет статус «Заблокирована учетная запись пользователя«, при активации учетной записи, все мгновенно повторяется.
После этого журнал был забит:
ID 4776: 2023-01-04T15:39:31 Сведения [DC1.Pyatilistnik.org.Security.Microsoft-Windows-Security-Auditing] Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: kom
Исходная рабочая станция:
Код ошибки: 0xC0000234 (Означает, что учетная запись заблокирована)
К сожалению описанные выше ID событий толком не помогли и не показали, откуда идет блокировка, забегу вперед, это оказалась Linux виртуальная машина, поэтому она и не представилась службе Netlogon и не фигурировала в поле «Caller Computer Name«
Еще так же вы можете увидеть ID 4740, но со странным содержанием:
A user account was locked out.
Subject:
Security ID: DC1$
Account Name: ROOT
Account Domain: 0x3e7
Logon ID: %7
Account That Was Locked Out:
Security ID: %3
Account Name: %1
Additional Information:
Caller Computer Name: %2
Тут главное запомнить на каком контроллере оно появилось, не всегда это PDC эмулятор, далее откройте вкладку «Details» и включите XML View. Там подробнее все будет структурировано, но к сожалению вы не увидите. откуда проблема.
Чтобы решить эту ситуацию с блокировкой учетной записи, нам нужно на контроллере домена, где это происходит включить ведения расширенного журнала отладки для службы Netlogon.
https://learn.microsoft.com/ru-ru/troubleshoot/windows-client/windows-security/enable-debug-logging-netlogon-service
Это позволит записывать трассировки для Netlogon и получать кучу дополнительных сведений. Описанная ниже команда подойдет для Windows Server 2019/2022, Windows Server 2016 и Windows Server 2012 R2. К командной строке в режиме администратора введите:
Далее перезапустим службу:
net stop netlogon && net start netlogon
После того, как вы активировали ведение расширенного журнала Netlogon, у вас по пути %windir%debugnetlogon.log будет файл лог.
Для отключения расширенного режима (Когда посчитаете нужным) введите:
Nltest /DBFlag:0x0
и далее
net stop netlogon && net start netlogon
Я начал изучать логи на DC1. Быстро пробежаться по файлу можно командой:
type C:Windowsdebugnetlogon.log | findstr kom
kom — это искомый логин.
Или как я это делаю в LogViewPlus. В результате я обнаружил, что события блокировки идут от другого контроллера домена из корневого домена. Включаю на DC07 так же режим расширенного ведения логов Netlogon.
01/04 16:20:28 [LOGON] [8972] ROOT: SamLogon: Transitive Network logon of rootkom from (via DC07) Returns 0xC0000234
На DC07, я уже в журнале netlogon.log увидел кто обращается к контроллеру DC07. оказалось, что это файловая нода кластера DFS. Идем на нее и смотрим логи.
И вот уже анализируя логи на DFS ноде, я увидел в событии ID 4625, что учетной записи не удалось выполнить вход в систему с сетевого адреса источника, где указан был его IP-адрес. БИНГО. После того, как утилита nslookup показа кто, это стало все понятно. Это был Linux сервер, которому до лампочки на службу Netlogon, чтобы ей представляться, внутри этого сервера была смонтирована сетевая шара на эту DFS ноду с учетными данным пользователя.
Всегда используйте служебные вещи для этого
В результате от монтировали файловую шару и учетную запись удалось разблокировать.
Блокировка учетной записи не в домене Active Directory
В случае с Active Directory все понятно, а как быть если учетная запись заблокировалась на вашем локальном, домашнем компьютере. Тут две ситуации, если у вас есть заблокировалась одна из нескольких учетных записей и у других записей есть права администратора, то вы можете все разблокировать, и вторая ситуация, если у вас одна учетная запись и она залочилась, тут будет повеселее, но так же все поправимо. Я опущу причины блокировки, вероятнее всего у вас стоит политика блокировки и вы ее можете поправить через локальную, для этого в окне выполнить напишите gpedit.msc и отключите пункты, о которых я писал в самом начале, либо же с вами кто-то подшутил таким образом выставив вам эту политику, но не суть.
Как разблокировать учетную запись в Windows 10 имея вторую учетку
Если у вас блокировка учетной записи windows 10 уже свершилась, и есть в наличии вторая учетная запись, например у папы своя у мамы своя, то сделайте следующее. Чтобы снять блокировку активируйте учетную запись, откройте окно выполнить, через сочетание клавиш WIN и R и введите название оснастки lusrmgr.msc
Открываем контейнер «Пользователи» и находим нужного нам, переходим в его свойства
Снимаем у нее галку «Заблокировать учётную запись» и нажимаем применить, все учетная запись теперь будет в рабочем состоянии.
Как разблокировать свою учётную запись Windows, если нет административного доступа
Чтобы обойти блокировку учетной записи, можно пойти двумя путями, легким и посложнее. Самый простой способ разблокировать учетную запись не имя административных прав, это воспользоваться загрузочным диском SonyaPE. Когда вы сделаете из него загрузочную флешку и загрузитесь с нее, то получите рабочий стол Windows 7. Там есть утилита Active@ Password Changer Professional 3.8, которая позволит вам включить и сбросить пароль от встроенной учетной записи Администратор, которая есть в любой операционной системе Windows, далее зайдя под ней вы разблокируете нужную нам учетную запись, как я описывал выше.
Как видите этот метод позволяет обойти блокировку учетной записи, но он не единственный, допустим у вас под рукой нет такого диска, как SonyaPE, что делать. Можно воспользоваться встроенными средствами восстановления Windows или же ими, но на любом установочном диске с Windows вашей редакции. В заметке «Как вернуть предыдущую версию виндоус 10» я показал метод попадания в дополнительные инструменты Windows 10.
Либо вы можете попасть в эти утилиты, через инструменты восстановления системы, о которых шла речь в заметке про восстановление загрузчика Windows 10.
В том и в другом случае, вам необходимо открыть командную строку.
В командной строке введите regedit
Выбираем раздел HKEY_LOCAL_MACHINE, после чего в меню «Файл» выберите пункт «Загрузить куст».
У вас откроется проводник Windows. В моем компьютере, перейдите по пути WindowsSystem32Config. В этой папке лежит файл локальной базы данных пользователей, по имени SAM. Выбираем его и открываем.
Задаем имя новому кусту, для примера это будет 777.
Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Переходим в ней по пути: 777 – SAM – Domains – Account – Users – Names. Тут вам необходимо идентифицировать вашу учетную запись, которая находится в блокировке. В моем примере, это Василий. Выбрав Васю, посмотрите, что по умолчанию он имеет значение 0x3f8
Выбираем теперь куст 00003f8. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.
В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.
Двойным кликом щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно.
Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее «Выгрузить куст». Все необходимые изменения внесены.
Перезагружаем ваш компьютер и пробуем войти под вашей учетной записью, она уже не должна быть заблокирована. На этом все, с вами был Семин Иван, автор и создатель IT блога Pyatilistnik.org.
Блокировка аккаунта пользователя в Active Directory происходит, если он несколько раз подряд неправильно набрал пароль. В этой статья я покажу, как найти и разблокировать аккаунт одного конкретного пользователя или сразу всех заблокированных пользователей в домене AD с помощью консоли ADUC и PowerShell.
Пороговое значение количества попыток набора неправильного пароля и длительность блокировки аккаунта пользователя определяется доменной политике (обычно это Default Domain Policy_ в секции Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy.
В моем домене Active Directory эта политика настроена следующим образом:
- Account lockout threshold (длительность блокировки аккаунта)– 30 minutes;
- Account lockout duration (количество неверных попыток набора пароля, после которых пользователь блокируется) – 10 invalid logon attempts;
- Reset account lockout counter after (время сброса счетчика, учитывающего неверные пароли) -10 minutes.
В моем случае после 10 попыток ввести неправильный пароль учетная запись пользователя блокируется на 30 минут. В это время пользователь не может авторизоваться в домене под своим аккаунтом с ошибкой “1909: The referenced account is currently locked out and may not be logged on to”.
Администратора домена может досрочно разблокировать акккаунт пользователя, чтобы он не дожидался 30 минут. Для этого можно использовать графическую консоль Active Directory Users and Computers (ADUC).
Чтобы разблокировать аккаунт пользователя, найдите его учетную запись, откройте свойства пользователя, перейдите на вкладку Account, поставьте чекбокс в поле “Unlock account. This account is currently locked out on this Active Directory Domain Controller” (если учетная запись пользователя не заблокирована, это поле не отображается).
Однако вы можете гораздо быстрее разблокировать учетную запись пользователя в Active Directory с помощью PowerShell. Для этого вам понадобится установить модуль Active Directory module для Windows PowerShell.
В Windows Server 2012 R2/2016/2019 вы можете установить этот модуль командой:
Add-WindowsFeature RSAT-AD-Powershell
В Windows 10 этот модуль входит в состав RSAT.
Проверим, что учетная запись пользователя заблокирована. Для этого выполните следующую однострочную команду PowerShell:
Get-ADUser -Identity sspetrov -Properties LockedOut | Select-Object samaccountName,Lockedout| ft -AutoSize
Аккаунт заблокирован (Lockedout=True).
Чтобы разблокировать учетную запись пользователя домена можно использовать командлет Unlock-ADAccount:
Unlock-ADAccount sspetrov –Confirm
Для подтверждения разблокировки аккаунта нажмите Y -> Enter.
Также вы можете использовать синтаксис конвейера совместно с командлетом Get-ADUser:
Get-ADUser -Identity sspetrov | Unlock-ADAccount
Проверим, что данный аккаунт теперь разблокирован (Lockedout=False):
Get-ADUser -Identity sspetrov -Properties LockedOut | Select-Object samaccountName,Lockedout
Теперь пользователь может авторизоваться в домене под своей учетной записью.
Вы можете быстро найти в домене все заблокированные аккаунты пользователей. Используйте такую команду PowerShell:
Search-ADAccount -lockedout | Select-Object SamAccountName, LastLogonDate, Lockedout
Чтобы разблокировать всех найденных пользователей, выполните команду:
Search-ADAccount -Lockedout | Unlock-AdAccount –Confirm
|
19 / 18 / 8 Регистрация: 06.04.2013 Сообщений: 524 |
|
|
1 |
|
|
30.04.2019, 05:30. Показов 4689. Ответов 3
Всем привет! Имеется доменная сеть на сервере Windows Server 2012 r2. Добавляю нового пользователя через Active Directory пользователи и компьютеры. Точнее затираю старого пользователя и добавляю данные нового (чтобы рабочий стол и доки остались для нового пользователя). При истечении некоторого времени (от 10 мин. до часа) вижу в свойствах учетной записи, что учетка заблокирована. При перезагрузке компьютера пользователь не может войти в компьютер под своим логином. Разблокирую, проходит время — опять блокировка. Как я понял где-то нужно почистить старые данные, а найти не могу где. Подскажите что делать?
__________________
0 |
|
Модератор
6871 / 3818 / 477 Регистрация: 13.03.2013 Сообщений: 14,058 Записей в блоге: 9 |
|
|
30.04.2019, 08:31 |
2 |
|
Точнее затираю старого пользователя и добавляю данные нового (чтобы рабочий стол и доки остались для нового пользователя) Это неправильный подход: лучше удалить старого пользователя в дереве AD и потом создать нового, а на локальном ПК перетянуть данные из старого профиля в новый.
При перезагрузке компьютера пользователь не может войти в компьютер под своим логином. Разблокирую, проходит время — опять блокировка. Вероятнее всего новая учетка ломится под паролем старой учетки на сетевые ресурсы и после нескольких попыток авторизоваться учетка блокируется.
0 |
|
19 / 18 / 8 Регистрация: 06.04.2013 Сообщений: 524 |
|
|
30.04.2019, 08:45 [ТС] |
3 |
|
Это неправильный подход Согласен. Но так уж получилось и переделывать хлопотно. Три учетки так уже сделаны — и проблем нет. В журнале системы на сервере нахожу запись, что учетка заблокирована, а причины найти не могу. Со старыми данными не нахожу записей, которые на сервер долбятся.
0 |
|
19 / 18 / 8 Регистрация: 06.04.2013 Сообщений: 524 |
|
|
06.05.2019, 13:21 [ТС] |
4 |
|
Проблема ушла. На компьютере пользователя вызвал командную строку от имени администратора. Далее прописал команду control userpasswors2 (управление паролями). Закладка дополнительно -> управление паролями->учетные данные Windows. Удалил все сохраненные пароли. Именно только в учетных данных Windows. Общие данные и другие пароли удалять не нужно. Проблема автоблокировки ушла.
0 |
Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?
Учётная запись пользователя заблокирована и не может быть использована для входа в сеть
Итак, не можем войти в Windows, потому что на экране блокировки видим это.
Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.
Блокировка учётных записей Windows
Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.
Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.
Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.
При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.
Добавить в заметки чтобы посмотреть позже?
Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.
А время блокировки самой учётной записи, наоборот, увеличить.
Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft.
Разблокировать заблокированную учётную запись можно несколькими путями:
• Дождаться завершения времени блокировки. Но здесь есть нюанс: сколько времени нужно ждать, система не уведомляет. Об этом знает только администратор компьютера;
• Войти в систему с учётки администратора и снять блокировку;
• Если доступ к учётке администратора невозможен, снять блокировку, загрузившись со съёмного устройства и подправив кое-что в реестре Windows.
Как разблокировать свою учётную запись Windows, если есть доступ к администратору
Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:
lusrmgr.msc
В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.
В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.
Пробуем войти в свою учётку.
- Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.
Как разблокировать свою учётную запись Windows, если нет доступа к администратору
Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.
На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:
regedit
Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».
В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.
Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.
Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:
777 – SAM – Domains – Account – Users – Names
Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания — с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».
Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.
В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.
Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».
Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».
Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия. Какие – читаем здесь.
Изменение пароля учетной записи Windows Server 2012 с Active Directory
Смена пароля AD
Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory
Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»
В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля. «
В окне смена пароля,
1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.
Если все данные ввели правильно то появится окно об удачной смене пароля
Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory
Срок истечения пароля AD
Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»
Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»
затем в блоке справа выберите вкладку «Параметры».
Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»
В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»
Перед Вами откроется «Редактор управления групповыми политиками»
В этом редакторе, в блоке слева откройте дерево:
«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»
В блоке справа откройте «Максимальный срок действия пароля 42 дня»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
Источник
Изменение пароля учетной записи Windows Server 2012
Смена пароля
В данном руководстве будет рассмотрена процедура изменения пароля в операционной системе Windows Server 2012
Для того чтобы изменить пароль в своей учетной записи Администратора
Нажмите «Пуск» и на иконку Панель управления как на скриншоте ниже
В окне Панель управление выберите «Учетные записи пользователей» , далее снова нажмите «Учетные записи пользователей» и в новом окне «Управление другой учетной записью»
Выберите одну из учетных записей
Затем Изменить пароль
Далее в окне «Изменение пароля»
- 1. Введите текущий пароль
- 2. Введите новый пароль (не меньше 8 символов и латинскими буквами ) в строке «Подтверждения пароля» — введите новый пароль ещё раз
- 3. Сохраните изменения кнопкой «Сменить пароль»
Таким образом Вы сменили пароль на текущую учетную запись, теперь мы рассмотрим функцию «Срок истечения пароля»
Срок истечения пароля
На сервере функция «Срок истечения пароля» по умолчанию установлена в 42 дня, это говорит о том что через каждые 42 дня Ваша система будет требовать смены пароля.
Где изменить или отключить эту функцию мы рассмотрим ниже
Нажмите «Пуск» далее Администрирование
Открываем окно «Локальная политика безопасности»
В окне «Локальная политика безопасности» слева нажмите на стрелку «Политика учетных записей» далее на папку «Политика паролей»
Затем справа откройте запись «Максимальный срок действия пароля 42 дн.»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
Источник
Сброс пароля доменного админа на WinSRV 2012
В этой статье мы рассмотрим сценарий сброса пароля администратора домена Active Direcotory. Эта возможность может понадобиться в случаях утраты прав доменного администратора вследствие, например, «забывчивости» или намеренного саботажа увольняющегося админа, атаки злоумышленников или других форс мажорных обстоятельствах. Для успешного сброса пароля администратора домена необходимо иметь физический или удаленный (ILO, iDRAC или консоль vSphere, в случае использования виртуального DC) доступ к консоли сервера. В данном примере мы будем сбрасывать пароль администратора на контроллере домене с ОС Windows Server 2012. В том случае, если в сети несколько контроллеров домена, рекомендуется выполнять процедуру на сервере PDC (primary domain controller) с ролью FSMO (flexible single-master operations).
Для сброса пароля домен-админа необходимо попасть в режим восстановления службы каталогов – DSRM (Directory Services Restore Mode) с паролем администратора DSRM (он задается при повышении уровня сервера до контроллера домена). По сути это учетная запись локального администратора, хранящаяся в локальной базе SAM на контроллере домена.
В том случае, если пароль DSRM не известен, его можно сбросить таким способом, или, если администратор обезопасил сервер от использования подобных трюков, с помощью специализированных загрузочных дисков (типа Hiren’s BootCD, PCUnlocker и им подобных).
Итак, загружаем контроллер домена в DSRM режиме (сервер загружается с отключенными службами AD), выбрав соответствующую опцию в меню расширенных параметров загрузки.
На экране входа в систему вводим имя локального пользователя (administrator) и его пароль (пароль DSRM режима).
В данном примере имя контроллера домена – DC01.
Проверим, под каким пользователем выполнен вход в системе, для этого выполним команду:
Источник
Содержание страницы
- Вступление:
-
Как сбросить пароль Windows Server с диском или без него
- Метод 1. Сброс пароля Windows Server с помощью инструмента сброса Windows — PassFab 4Winkey (без потери данных)
- Почему именно PassFab 4winkey?
- Как использовать PassFab 4winkey?
- Метод 2: сброс пароля администратора Windows Server с помощью диска сброса пароля
- Метод 3: сбросить пароль администратора сервера WIndows с помощью командной строки
- Заключение:
Вступление:
«Привет всем, мне нужно сбросить пароль администратора на сервере 2012 R2, решение, которое я нашел на сайте Microsoft, не работает, потому что «Клавиша Windows + U» означает легкость доступа, и я не могу сбросить пароль через командную строку ». Есть ли способ сделать это или нужно бросить моя работа?
Насколько неприятно, когда вы забываете свой пароль Windows Server? Вы знаете, что есть только несколько способов решить проблему. Один из них имеет учетную запись администратора, но если у вас ее нет, то вам не повезло.
Другой способ — сбросить пароль администратора системы без потери данных, но как это сделать? В этом сообщении в блоге будут рассмотрены три основных способа
сбросить пароль сервера Windows без потери данных и помочь вам снова запустить вашу систему!
Как сбросить пароль Windows Server с диском или без него
Если вы когда-нибудь забыли пароль Windows Server 2003 или 2008 и вам нужно его восстановить, я покажу вам, как это сделать, не переустанавливая операционную систему. Просто скачайте и запустите бесплатный инструмент. Существует три метода, с помощью которых вы можете легко сбросить пароль сервера Windows без потери данных.
Метод 1. Сброс пароля Windows Server с помощью инструмента сброса Windows — PassFab 4Winkey (без потери данных)
PassFab 4Winkey — это мощная программа для восстановления паролей Windows, которая помогает пользователям сбрасывать забытые или утерянные пароли Windows. Он поддерживает практически все версии ОС Windows Server, включая версии 2003, 2008, 2012 и 2016. Чтобы сбросить пароль локального администратора / пользователя с помощью этого инструмента, вам необходимо иметь физический доступ к компьютерной системе. Вам также необходимо загрузить Windows Password Reset Tool на свой компьютер / ноутбук.
Почему именно PassFab 4winkey?
Это один из лучших инструментов для сброса и восстановления пароля Windows, очень простой и всегда работающий. Некоторые основные минусы указаны ниже:
- За считанные минуты вы можете удалить или сбросить локальный и административный пароли, удалить или создать учетные записи Windows.
- С USB / CD / DVD вы можете создать диск для сброса пароля Windows одним щелчком мыши.
- Разблокируйте пароль администратора. Пароли Windows XP, Vista, 7, 8.1, 10 и server 2019/2012/2008 можно разблокировать.
- Этот метод работает для всех производителей настольных компьютеров и ноутбуков, таких как Dell, HP, Lenovo, Asus, Acer, Samsung и Microsoft Surface Pro.
- Предлагает 30-дневную гарантию возврата денег.
- Никаких компромиссов в отношении безопасности. Покупка была произведена с использованием 256-битного SSL.
- Доступна бесплатная техническая поддержка, которая работает круглосуточно и без выходных.
Как использовать PassFab 4winkey?
В основном это два шага: первый — создать диск для сброса пароля Windows, а второй — вставить этот диск сброса в заблокированный компьютер.
Видеоурок
https://www.youtube.com/watch? v = yWetGi7JNZ4
Шаг 1: Создайте диск для сброса пароля на доступном компьютере с помощью PassFab 4WinKey.
Шаг 2: Вставьте диск сброса пароля в заблокированный компьютер. Выберите операционную систему Windows.
Шаг 3: Пароль Windows был успешно удален или сброшен.
Метод 2: сброс пароля администратора Windows Server с помощью диска сброса пароля
Диск для сброса пароля — незаменимый инструмент, если вы забыли свой пароль. Вот почему при создании пароля для учетной записи пользователя Windows мы всегда предлагаем пользователям создать диск с ключом пароля. Если у вас есть диск для сброса пароля, следуйте приведенным ниже инструкциям, чтобы выполнить сброс пароля компьютера с помощью Raid-сервера Windows.
Всегда рекомендуется настраивать Диск сброса пароля на вашем сервере Active Directory, чтобы избежать серьезных ситуаций блокировки. Но дело в том, что если вы не используете или не поддерживаете эту функцию, это может создать больше проблем, чем помощь в чрезвычайных ситуациях, когда вам нужно вернуть контроль над своим доменом.
Выполните следующие шаги, чтобы разблокировать сервер Windows без потери данных с помощью диска для сброса пароля:
Шаг 1: При вводе неверного пароля щелкните ссылку «Сбросить пароль» под полем для ввода пароля.
Шаг 2: Вставьте диск с ключом пароля, который вы сделали до того, как забыли пароль администратора, и нажмите «Далее», затем выберите диск в списке.
Шаг 3: На следующем экране дважды введите новый пароль и подсказку для пароля. Чтобы завершить работу мастера, нажмите «Готово». Теперь вы можете войти в свой компьютер с новым паролем.
ЗА:
Нет потери данных.
Этот метод эффективен, если вы создали диск до того, как забыли пароль.
Нет необходимости в дорогом программном обеспечении.
МИНУСЫ:
Временной метод.
Если не создал диск до того, как забыл, сделать невозможно.
Сложный метод для большинства пользователей Windows Server.
Метод 3: сбросить пароль администратора сервера WIndows с помощью командной строки
Сброс пароля администратора Windows Server с помощью командной строки довольно прост, если вы знаете этот трюк. И здесь мы показываем вам трюк. Мы будем использовать командная строка для безопасного и эффективного выполнения команд и сброса пароля администратора Windows Server с помощью командной строки. И мы обещаем, что ваша система никогда не вернется в прежнее состояние.
Если у вас есть установочный DVD-диск Windows Server, вы можете использовать его для сброса пароля администратора в окне командной строки. Вы можете выполнить следующие команды.
Шаг 1: Вставьте установочный диск и перезагрузите компьютер. Когда появится экран установки Windows, нажмите кнопку Далее.
Шаг 2: Выберите вариант, который предназначен для ремонта вашего компьютера. Нажмите на параметр «Устранение неполадок».
Затем, наконец, щелкните командную строку.
Шаг 3: Начать писать команду в командной строке,
d: cd windows system32
ren Utilman.exe Utilman.exe.old
скопируйте cmd.exe Utilman.exe
Шаг 4: Нажмите «Продолжить» после закрытия окна командной строки. Теперь сервер должен загрузиться и отобразить экран входа в систему. Выберите Windows Key + U на клавиатуре.
Шаг 5: Введите следующую команду в запросе пароля, чтобы изменить пароль: Администратор в качестве пользователя и пароль по вашему выбору, например, пароль123.
Шаг 6: Чтобы установить пароль администратора, нажмите здесь и затем введите новый пароль (с учетом регистра) для пользователя-администратора.
Теперь вы можете снова войти на сервер с новым паролем, так как уВы закрыли командное окно. Не забудьте удалить файл Utilman.exe из C: Windows System32, а затем переименовать Utilman.exe.old обратно в Utilman.exe перед его удалением.
ЗА:
Для этого метода не требуется никакого платного программного обеспечения.
Все данные будут в безопасности. Без потери данных в этом методе.
Простой процесс, просто следуйте инструкциям, и вы можете легко разблокировать сервер Windows.
МИНУСЫ:
Если командная строка не открывается, вы не можете использовать этот метод.
Если у вас нет загрузочного устройства, не используйте этот метод.
Временной метод.
Заключение:
В этом сообщении в блоге рассматриваются три лучших метода сброса пароля Windows Server с помощью диска или без него.
Первый метод касается программного обеспечения с именем PassFab 4winkey, с помощью этого программного обеспечения вы можете создать диск для сброса пароля Windows на USB или любом компакт-диске.
Второй метод заключается в использовании сброса пароля администратора Windows Server с помощью диска сброса пароля. Если вы создали диск для сброса пароля перед блокировкой окон, вы просто используете этот диск и разблокируете свои окна.
Третий метод касается метода командной строки, с помощью которого вы можете разблокировать свой компьютер с помощью некоторых кодов, которые помещаются в командную строку для разблокировки.
- Remove From My Forums
-
Question
-
I just installated windows server 2012, assigned a password and wrote it down. Upon trying to sign in, I get the message that the password is wrong. How can I reset it?
Marianne
Answers
-
Hi,
To reset the password on your Windows 2012 server, simply complete the following steps:
- Boot from the Micrsoft Windows Server 2012 DVD
- From the Windows Setup menu, click “Next”.
- Select “Repair your computer”
- Under Choose and option, click on “Troubleshoot”.
- Under Advanced options, click “Command Prompt”.
- At the command prompt, run the following commands:
d: cd windowssystem32 ren Utilman.exe Utilman.exe.old copy cmd.exe Utilman.exe - Close the command prompt and then click “Continue”.
- The server should now boot and present the logon screen. Here click Windows Key + U.
- At the prompt you can now change the password, by typing the following command:
net user administrator Password123 This will set the password for the Administrator user to be Password123 (case sensitive).
Refer below link.
Regards,
MD Disclaimer: The opinion expressed herein are my own knowledge. Deploy this at your own risk. Whenever you see a helpful reply, just click on “Propose As Answer” / “Marked As Answer” and please do «VOTE».
-
Marked as answer by
Friday, December 6, 2013 11:10 AM
-
Title «how I reset Windows Server 2012 administrator password without installation cd»s?«
Answer — If you do not have a password, you can’t. You need the installation media.
.:|:.:|:. tim
-
Marked as answer by
AnnaWY
Friday, December 6, 2013 11:10 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
I just installated windows server 2012, assigned a password and wrote it down. Upon trying to sign in, I get the message that the password is wrong. How can I reset it?
Marianne
Answers
-
Hi,
To reset the password on your Windows 2012 server, simply complete the following steps:
- Boot from the Micrsoft Windows Server 2012 DVD
- From the Windows Setup menu, click “Next”.
- Select “Repair your computer”
- Under Choose and option, click on “Troubleshoot”.
- Under Advanced options, click “Command Prompt”.
- At the command prompt, run the following commands:
d: cd windowssystem32 ren Utilman.exe Utilman.exe.old copy cmd.exe Utilman.exe - Close the command prompt and then click “Continue”.
- The server should now boot and present the logon screen. Here click Windows Key + U.
- At the prompt you can now change the password, by typing the following command:
net user administrator Password123 This will set the password for the Administrator user to be Password123 (case sensitive).
Refer below link.
Regards,
MD Disclaimer: The opinion expressed herein are my own knowledge. Deploy this at your own risk. Whenever you see a helpful reply, just click on “Propose As Answer” / “Marked As Answer” and please do «VOTE».
-
Marked as answer by
Friday, December 6, 2013 11:10 AM
-
Title «how I reset Windows Server 2012 administrator password without installation cd»s?«
Answer — If you do not have a password, you can’t. You need the installation media.
.:|:.:|:. tim
-
Marked as answer by
AnnaWY
Friday, December 6, 2013 11:10 AM
-
Marked as answer by
Смена пароля AD
Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory
Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»
В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля…»
В окне смена пароля,
1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.
Нажмите «ОК»
Если все данные ввели правильно то появится окно об удачной смене пароля
Готово
Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory
Срок истечения пароля AD
Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»
Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»
затем в блоке справа выберите вкладку «Параметры».
Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»
В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»
Перед Вами откроется «Редактор управления групповыми политиками»
В этом редакторе, в блоке слева откройте дерево:
«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»
В блоке справа откройте «Максимальный срок действия пароля 42 дня»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
И нажмите кнопку «Применить» , готово.