Eventos de bloqueos de cuentas en Active Directory
A continuación, a raiz de muchos problemas a lo largo de los años, con los bloqueos de cuenta de los usuarios y de oir una y otra vez tanto de usuarios como de los departamentos de Help Desk o primer nivel de atención a los usuarios, que no habian metido mal la contraseña, que su usuario no esta cacheado en su PC y más recientemente en dispositivos moviles, con su contraseña anterior al ultimo cambio que solicitó el directorio activo o directamente que su usuario “se ha roto”, voy a dejar los principales eventos para poder encontrar, en los eventos de seguridad de los DC’s, los origenes de los bloqueos de las cuentas. Lo suyo es tener un sistema de syslog que registre y guarde dichos eventos, o un sistema de terceros que se encarge de esto, pero sino, a las malas y con las reducciones que tenermos todos en los departamentos de sistemas con los tiempos que corren, que menos que sabe que buscar y que evento o eventos filtrar a la hora de buscar los bloqueos.
En Windows Server 2003
529 –> Usuario ha hecho loging en una máquina. Logo type:
Logon Type | Description |
2 | Interactivo (logon en el teclado y pantalla del sistema) |
3 | Network (Por ejemplo conexiones a una carpeta compartida) |
4 | Batch (Tarea programada o Script) |
5 | Servicio (que tiene la cuenta añadadia en el incio de un servicio) |
7 | Desbloqueo desatendido erroneo (Por ejemplo un salvapantallas con password) |
8 | NetworkCleartext |
9 | NewCredentials |
RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) | |
CachedInteractive (logon con credenciales de dominio cacheadas) |
675 –> Preautenticación fallida. Por ejemplo, si se ha introducido mal la contraseña.
644–> Cuenta de usuario bloqueada. Este evento suele indicar el usuario bloqueado y el origen del bloqueo. Este evento suele ser el que nos indique porque se ha bloqueado el usuario.
Windows server 2008 & 2008 R2
ID. | Mensaje |
4720 | Se ha creado una cuenta de usuario. |
4722 | Se habilitó una cuenta de usuario. |
4723 | Se ha intentado cambiar la contraseña de cuenta. |
4724 | Se ha intentado restablecer la contraseña de cuenta. |
4725 | Se ha deshabilitado una cuenta de usuario. |
4726 | Se ha eliminado una cuenta de usuario. |
4738 | Se ha modificado una cuenta de usuario. |
4740 | Se ha bloqueado una cuenta de usuario. |
4765 | SID History se ha agregado a una cuenta. |
4766 | Error al intentar agregar SID History a una cuenta. |
4767 | Se ha desbloqueado una cuenta de usuario. |
4780 | La ACL se ha establecido en las cuentas que son miembros de grupos de administradores. |
4781 | Se cambió el nombre de una cuenta: |
4794 | Se ha intentado establecer el modo de restauración de servicios de directorio. |
5376 | Las credenciales de administrador de credenciales realizó la copia. |
5377 | Las credenciales de administrador de credenciales se restauran desde una copia de seguridad. |
Espero que os sirva para encontrar esos origenes de bloqueos de cuentas que a veces tan de cabeza nos traen.