Eventos de bloqueos de cuentas en Active Directory

A continuación, a raiz de muchos problemas a lo largo de los años, con los bloqueos de cuenta de los usuarios y de oir una y otra vez tanto de usuarios como de los departamentos de Help Desk o primer nivel de atención a los usuarios, que no habian metido mal la contraseña, que su usuario no esta cacheado en su PC y más recientemente en dispositivos moviles, con su contraseña anterior al ultimo cambio que solicitó el directorio activo o directamente que su usuario “se ha roto”,  voy a dejar los principales eventos para poder encontrar, en los eventos de seguridad de los DC’s, los origenes de los bloqueos de las cuentas. Lo suyo es tener un sistema de syslog que registre y guarde dichos eventos, o un sistema de terceros que se encarge de esto, pero sino, a las malas y con las reducciones que tenermos todos en los departamentos de sistemas con los tiempos que corren, que menos que sabe que buscar y que evento o eventos filtrar a la hora de buscar los bloqueos.

 

En Windows Server 2003

529 –> Usuario ha hecho loging en una máquina. Logo type:

 

Logon Type

Description

2

Interactivo (logon en el teclado y pantalla del sistema)

3

Network (Por ejemplo conexiones a una carpeta compartida)

4

Batch (Tarea programada o Script)

5

Servicio (que tiene la cuenta añadadia en el incio de un servicio)

7

Desbloqueo desatendido erroneo (Por ejemplo un salvapantallas con password)

8

NetworkCleartext

9

NewCredentials

10

RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)

11

CachedInteractive (logon con credenciales de dominio cacheadas)

 

675 –> Preautenticación fallida. Por ejemplo, si se ha introducido mal la contraseña.

644–> Cuenta de usuario bloqueada. Este evento suele indicar el usuario bloqueado y el origen del bloqueo. Este evento suele ser el que nos indique porque se ha bloqueado el usuario.

 

Windows server 2008 & 2008 R2

 

ID.

Mensaje

4720

Se ha creado una cuenta de usuario.

4722

Se habilitó una cuenta de usuario.

4723

Se ha intentado cambiar la contraseña de cuenta.

4724

Se ha intentado restablecer la contraseña de cuenta.

4725

Se ha deshabilitado una cuenta de usuario.

4726

Se ha eliminado una cuenta de usuario.

4738

Se ha modificado una cuenta de usuario.

4740

Se ha bloqueado una cuenta de usuario.

4765

SID History se ha agregado a una cuenta.

4766

Error al intentar agregar SID History a una cuenta.

4767

Se ha desbloqueado una cuenta de usuario.

4780

La ACL se ha establecido en las cuentas que son miembros de grupos de administradores.

4781

Se cambió el nombre de una cuenta:

4794

Se ha intentado establecer el modo de restauración de servicios de directorio.

5376

Las credenciales de administrador de credenciales realizó la copia.

5377

Las credenciales de administrador de credenciales se restauran desde una copia de seguridad.

 

Espero que os sirva para encontrar esos origenes de bloqueos de cuentas que a veces tan de cabeza nos traen.

También te podría gustar...