Detectar y resolver bloqueos de cuentas de usuario en Windows Active Directory


Siendo administradores de redes Windows, mas de una vez hemos tenido que lidiar con bloqueos de cuentas en Active Directory.
Lo principal, ante aquellas fallas repetitivas, es detectar el origen del bloqueo para poder luego analizar con detenimiento el problema en esa fuente.

usuario-bloqueado

Causas de un usuario de Active Directory que se bloquea automáticamente en la red:

  • Virus
  • Una tarea programada que quedó con credenciales del usuario
  • Un Perfmon (performance monitor) corriendo con credenciales del usuario
  • Alguna aplicacion (antivirus, firewall) que utilice credenciales para salir a Internet para actualizarse
  • Una unidad de red mapeada con credenciales antiguas
  • Algun servicio que este ejecutandose con el usuario en cuestión
  • Las politicas del dominio (GPO) tienen un umbral de bloqueode cuentas por password fallidos muy bajo

El set de herramientas imprescindibles para trazar un diagnóstico y resolver el bloqueo de cuentas de usuario en Active Directory es Account Lockout tools
Descargala desde este enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Account Lockout tools tiene muchas mas herramientas que pueden ayudarte a dianosticar el problema de bloqueo de cuentas.

AcctInfo.dll

Agrega una solapa adicional con informacion sobre los logueos en las propiedades del usuario en la consola de Active Directory Users and Computers

ALockout.dll

Esta herramienta crea un archivo de log que puede ayudar a diagnosticar problemas de logueo.
Extrae los archivos dentro de ALockout.zip (Windows 2000) o AlockoutXP.zip (Windows XP) y copialos en la computadora que origina los bloqueos. Copia ALockout.dll en la carpeta System32 y haz doble click en Appinit.reg para registrar la DLL.
Reinicia la computadora y cuando se bloquee la cuenta nuevamente, puedes revisar el archivo de log en %WinDir%\debug\ALockout.txt para diagnosticar.
Debes conocer algo sobre logging en netlogon para interpretarlo!

AloInfo.exe

Para desplegar el password age de cuentas de usuario. Asi puedes concluir que cuentas estan proximas a expirar y actuar en forma proactiva.
Para usar esta herramienta copiala en una ruta del sistema en un domain controller y ejecutala desde una consola de sistema
Ejemplo:

C:\>aloinfo /expires /server:tuservidor

Pero lo mas interesante es, quizas, la posibilidad de listar las credenciales de todos los drives mapeados de un equipo.
Ejemplo:

C:\>aloinfo /stored /server:tuservidor

EventCombMT.exe

Para centralizar logs de eventos de multiples computadoras en una sola ubicacion y comparar.

NLParse.exe

Usado para parsear e interpretar archivos netlogon. Por ejemplo, para encontrar codigos de estado relacionados a cuentas que se bloquean.

EnableKerbLog.vbs

Usado para habilitar el logging de kerberos en multiples computadoras

Guia rápida de troubleshooting para bloqueo de cuentas en la red de Windows:

  • Ejecutar LockoutStatus.exe, indicar credenciales del usuario y visualizar en que domain controller se está bloqueando (notar que casi siempre son dos: el DC propiamente dicho y el global catalog que recibió la réplica del estado)
  • Desde la misma herramienta, click derecho y abrir el visor de eventos de este DC ( o bien, abrirlo desde el DC o con alguna mmc cargando el snap in del event viewer)
  • En el log de seguridad del DC, individualizar el evento (por la hora exacta) de bloqueo
  • Determinar la IP o nombre de PC origen del mismo
  • Trabajar sobre el origen:
    • Busca servicios que esten corriendo con ese usuario
    • Busca unidades de red, desmapealas por un tiempo para ver que sucede
    • Revisa el log del antivirus, realiza un scan completo
    • Si se trata de XP, limpia las credenciales cacheadas (http://support.microsoft.com/kb/306992)
    • Si se trata de un servidor, examina en la registry por el nombre de usuario. La llave en donde se encuentre puede darte la pauta de que aplicacion puede estar usando esas credenciales

Cualquier duda que tengas, puedes comentar tu problema o experiencia e intentaremos ayudarte!




Cristian

Cristian es fundador del portal noticias-tecnología en el año 2009. Actualmente se encarga de la linea editorial del Sitio Web y del departamento técnico. Colabora esporádicamente también en contenidos y actualmente dirige su propia empresa CZD, con la que asesora en WordPress y Marketing Digital a clientes de todo el mundo

11 Responses

  1. ortgajr dice:

    hola, He seguido los pasos al pie de la letra y puedo determinar si la cuenta esta bloqueada o no pero al intentar saber que equipo origina el bloqueo me genera error de privilegios. Como podria solucionar esto?

  2. romina dice:

    hola no se que tiene el control de cuentas de usuario de mi pc por que hace algun tiempo cree otra cuenta de usuario y ya abian 2 y desde que cree la 3a cuenta qque no se pueden ddescargar programas por que sale eso del control de cuentas de usuario y donde dice si esta bloqueado o algo asi pero solo se puede poner donde dice no y lo peor es ke otro usuario kedo como administrador no yo que soi la dueña del pc y no se ke aser porfavor diganme que ago

  3. Cristian dice:

    Hola Romina,
    seguramente la cuenta creada no tiene privilegios de administrador.

    Lo que puedo recomendarte es que te loguees en la PC con la cuenta de administrador local, y le cambies los privilegios a la cuenta con problemas.

    Si no sabes la contraseña de la cuenta administradora, puedes probar booteando con algun software del tipo ERD Commander, que te permite resetear la cuenta de administrador local.

    Suerte!

  4. juan pablo dice:

    Ufff llevaba tres dias detras de lo que estaba bloqueando el usuario .
    La herramienta feu reutil.
    Detecte un registro aun no se que era ese registro pero lo saque donde estaba y se soluciono el problema .
    Ya puedo usar esa cuenta sin tener probelmas.
    gracias

  5. Cristian dice:

    Muy bien Juan Pablo, me alegro que se haya podido solucionar.

    Saludos!

  6. Jerònimo Juàrez Cabrera dice:

    Gracias por su ayuda.

  7. Cristian dice:

    Si no pueden ver los eventos en el DC seguramente haya una policy que los esté restringiendo. Prueben con una cuenta domain admin.

    Slds!

  8. Jerònimo Juàrez Cabrera dice:

    No se a que se deve este bloqueo ya llevo mas de 40 dis con esta situacion les pido por fabor desbloquear mis cuentas Gracias ATENTAMENTE J:J;C;

  9. Mauricio dice:

    Hola tento un problema con una cuenta de domminio la cual se bloquea cada segundo revise los logs del PDC y me dice LogonProcess: advapi, LogonType: 2. eh hecho de todo pero no tengo respuesta, espero me puedas ayudar. gracias

  10. Verónica Cecilia dice:

    Tengo un problema se me bloquea un usuario constantemente, parecia que el problema fue superado al bajar a pst todo su buzon de correo, ya que el log me indica el bloqueo en uno de los servidores de correo, el usuario tiene windows 7 que herramienta utilizo o que puedo hacer? el usuario ya va 3 dias en este bloqueo constante, por favor su ayuda

  11. Mauricio dice:

    Buena tarde, al momento de consultar el Netlogon Log me dice que debo habilitarlo, saben cual es el paso a paso para que me lo compartan? Muchas gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *