¿Cómo desbloquear la cuenta de usuario en el dominio de Active Directory? – 2xsoftware

Una cuenta de usuario en Active Directory se bloquea si la contraseña se escribe incorrectamente varias veces seguidas y supera el número máximo permitido por la política de contraseñas de la cuenta. En este artículo, le mostraremos cómo encontrar y desbloquear la cuenta de AD de un usuario o todos los usuarios de dominio de AD bloqueados a la vez.

Política de bloqueo de cuenta en el dominio de Active Directory

El umbral para la cantidad de intentos de contraseña incorrectos y el tiempo de bloqueo de la cuenta se define en la Política de dominio predeterminada en la siguiente sección de GPO: Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Política de la cuenta > Política de bloqueo de la cuenta.

En nuestro dominio de Active Directory, esta política se configura de la siguiente manera:

  • Umbral de bloqueo de cuenta: 30 minutos;
  • Duración del bloqueo de la cuenta: 10 intentos de inicio de sesión no válidos;
  • Reinicie el contador de bloqueo de cuenta después de — 10 minutos.

Puede usar este comando de PowerShell para encontrar rápidamente la configuración predeterminada de la política de bloqueo de cuenta en su controlador de dominio:

Get-ADDefaultDomainPasswordPolicy| select LockoutDuration, LockoutObservationWindow, LockoutThreshold

cuenta de desbloqueo de anuncios

Nota. Un valor de LockoutDuration de 0 significa que las cuentas de usuario de su dominio nunca se desbloquearán automáticamente. Solo el administrador del dominio puede eliminar el bloqueo manualmente.

Si la Política de contraseñas detallada con configuración de bloqueo de cuenta personalizada está habilitada para el usuario, puede verificar la configuración de la política de bloqueo resultante para el usuario de destino con el comando:

Get-ADUserResultantPasswordPolicy -Identity j.brion | select-object LockoutDuration, LockoutObservationWindow, LockoutThreshold

En nuestro caso, después de 10 intentos de ingresar la contraseña incorrecta, la cuenta de usuario se bloquea durante 30 minutos. En este momento, el usuario no puede iniciar sesión en el dominio con una cuenta con el error «1909: la cuenta a la que se hace referencia actualmente está bloqueada y es posible que no pueda iniciar sesión».

Puede encontrar eventos de bloqueo de cuentas de usuario en el registro de seguridad en un controlador de dominio con la función de emulador de PDC de FSMO. Para hacer esto, debe habilitar la auditoría de eventos de bloqueo de cuenta en la Política de controlador de dominio predeterminado de GPO.

Nota. Puede consultar nuestro artículo sobre cómo agregar el sufijo UPN en Active Directory o cómo configurar los ajustes de GPO de bloqueo de cuenta en el dominio de Active Directory.

Abra la Consola de administración de políticas de grupo (gpmc.msc), seleccione la Política de controlador de dominio predeterminada y habilite la política de bloqueo de cuenta de auditoría (éxito y error) en la sección GPO Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Política de auditoría avanzada > Iniciar sesión/Cerrar sesión.

desbloquear cuenta directorio activo

Después de actualizar la configuración de GPO en los controladores de dominio, cuando se bloquea una cuenta, aparece el ID de evento 4740 en el registro de seguridad en el Visor de eventos:

Nombre de registro: Seguridad

Identificador de evento: 4740

Fuente: auditoría de seguridad de Microsoft Windows.

Categoría de tareas: Gestión de cuentas de usuario

Una cuenta de usuario fue bloqueada

El evento contiene el nombre de la cuenta de usuario bloqueada y la computadora desde la cual ocurrió el evento de bloqueo. El nombre del equipo se especifica en el Nombre de la computadora de la persona que llama campo.

desbloquear cuenta publicitaria

Con una sola línea de PowerShell, puede ver rápidamente los últimos eventos de bloqueo para los usuarios de su dominio con nombres de equipos de origen de bloqueo:

Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740} | %{([xml]$_.ToXml()).Event.EventData.Data}

desbloquear cuenta.  esta cuenta está actualmente bloqueada en este controlador de dominio de directorio activo

Nota. Consulte el artículo en el enlace para obtener más información sobre cómo encontrar el origen de los bloqueos de usuarios en Active Directory.

Desbloquear cuentas de usuario de dominio con ADUC GUI

El administrador del dominio puede desbloquear prematuramente la cuenta del usuario para que no tenga que esperar 30 minutos. Puede desbloquear una cuenta de usuario mediante el complemento Usuarios y equipos de Active Directory (ADUC).

Para desbloquear la cuenta de un usuario, ejecute el comando dsa.msc, busque el objeto de usuario en el complemento ADUC, abra sus propiedades, vaya a Cuenta pestaña, marque la opción “Desbloquear cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory” y presione Aceptar.

esta cuenta está actualmente bloqueada en este controlador de dominio

Para desbloquear la cuenta de usuario, también puede usar el complemento Centro de administración de Active Directory (dsac.exe).

  1. Abra el Centro de administración de Active Directory;
  2. Navegue hasta el contenedor o la unidad organizativa que contiene al usuario, o use Buscar para encontrar la cuenta de usuario.
  3. Abra las propiedades del usuario; desbloquear cuenta en anuncio
  4. Hacer clic Desbloquear cuenta y luego DE ACUERDO.

Puede mostrar todos los usuarios bloqueados en la consola de ADAC:

  1. Haga clic en un botón de flecha en la esquina superior derecha de la consola;
  2. Hacer clic Agregar criterios y selecciona «Usuarios con cuentas habilitadas pero bloqueadas” criterios en la lista desplegable;
  3. Hacer clic Agregar y luego Buscar;
  4. Aparecerá una lista de todas las cuentas de usuario bloqueadas en la consola. Puede seleccionarlos todos, abrir Propiedades y desbloquear todos los usuarios a la vez haciendo clic en Desbloquear cuenta. como desbloquear cuenta de publicidad

¿Cómo desbloquear cuentas de usuario de Active Directory con PowerShell?

Sin embargo, puede desbloquear una cuenta de usuario en Active Directory mucho más rápido usando la CLI de PowerShell.
Para hacer esto, deberá instalar el módulo PowerShell Active Directory.

En Windows Server, puede instalarlo con el comando:

Add-WindowsFeature RSAT-AD-Powershell

Importe el módulo RSAT-AD-Powershell a su sesión:

Import-module Active Directory

Compruebe si la cuenta de usuario está bloqueada. Para hacer esto, ejecute la siguiente línea de PowerShell:

Get-ADUser -Identity bjackson -Properties LockedOut | Select-Object samaccountName,Lockedout| ft -AutoSize

La cuenta está bloqueada (Lockedout=True).

como desbloquear una cuenta en el directorio activo

El tiempo de bloqueo del usuario se puede ver en el valor del atributo de usuario lockoutTime:

Get-ADUser D.McAllister -Properties Name,lockoutTime |

Select-Object Name,@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}

anuncio de desbloqueo de cuenta

Para desbloquear una cuenta de usuario, puede usar el cmdlet:

Unlock-ADAccount bjackson –Confirm

Presione Y para confirmar el desbloqueo de la cuenta, luego Enter.

También puede utilizar la siguiente sintaxis:

Get-ADUser -Identity bjackson | Unlock-ADAccount

esta cuenta está actualmente bloqueada en este controlador de dominio de directorio activo

Compruebe si esta cuenta ahora está desbloqueada (Lockedout=True):

Get-ADUser -Identity bjackson -Properties LockedOut | Select-Object samaccountName,Lockedout

como desbloquear cuenta de usuario en directorio activo

Ahora el usuario puede iniciar sesión en la computadora o servidor del dominio con su cuenta.

Puede encontrar rápidamente todas las cuentas de usuario bloqueadas en el dominio. Utilice este comando de PowerShell:

Search-ADAccount -lockedout | Select-Object SamAccountName, LastLogonDate, Lockedout

como desbloquear una cuenta en el directorio activo

Para desbloquear todos los usuarios encontrados, use el comando:

Search-ADAccount –UsersOnly -Lockedout | Unlock-AdAccount -Confirm

¿Cómo delegar permisos para desbloquear cuentas en Active Directory?

De forma predeterminada, los bloqueos de cuentas de usuario en Active Directory solo pueden eliminarlos los administradores de dominio. Puede delegar permisos a usuarios que no son administradores para desbloquear cuentas de AD. Para hacer esto:

  1. Crear un nuevo permitir desbloquear cuenta grupo de Active Directory en el dominio;
  2. Abra la consola ADUC y haga clic derecho en la unidad organizativa de los usuarios;
  3. Seleccione el elemento Control delegado;
    desbloquear cuenta en directorio activo
  4. Haga clic en Agregar y seleccione el grupo allowUnlockAccount. Haga clic en Siguiente;
  5. Seleccionar Crear una tarea personalizada para delegar > Solo los siguientes objetos en la carpeta > Objetos de usuario;
    desbloquear cuenta de dominio
  6. Seleccionar Específico de la propiedad y marque dos permisos en la lista: Leer lockoutTime y Escribir lockoutTime;
    desbloquear el directorio activo del usuario
  7. Guarde sus cambios.

Los usuarios del grupo allowUnlockAccount ahora pueden desbloquear cuentas de la unidad organizativa seleccionada mediante el complemento ADUC mmc o el cmdlet Unlock-ADAccount de PowerShell.

Para obtener información sobre quién desbloqueó a un usuario, debe habilitar el Gestión de cuentas de usuario de auditoría política para controladores de dominio (Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Políticas de auditoría > Administración de cuentas).

Después de actualizar el GPO, puede filtrar el Registro de seguridad por el ID de evento 4767 (Se desbloqueó una cuenta de usuario) para identificar al usuario que desbloqueó la cuenta de AD.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *