Tracer la source d’un compte Active Directory qui se verrouille sans cesse

Suite a un changement de mot de passe, parfois, si vos utilisateurs lancent des scripts ou des tâches planifiés avec leur compte, alors ils peuvent retrouver leur compte Windows verrouillé / bloqué continuellement. Vous trouverez ci-dessous, une méthode qui vous permettra d’en savoir un peu plus sur la cause de ce désagrément.

Récupérer le nom du PDC

Pour commencer, il est nécessaire de récupérer le nom du contrôleur de domaine qui a le rôle de PDC (Primary Domain Controller). Pour cela, un petit coup de powershell permettra de récupérer cette info (nécessaire surtout si vous avez beaucoup de contrôleurs de domaine).

Analyser les logs

Maintenant, il va être nécessaire d’analyser ce qu’il se passe, pour ça, les logs sont le point d’entrée de tout problème. Le problème des logs, c’est chaque minute, quand ce n’est pas chaque seconde, de nouvelles informations viennent s’ajouter aux logs. Heureusement, l’observateur d’évennement est plutôt bien foutu et vous allez pouvoir filtrer ce que vous avez besoin.

Dans notre cas, nous allons filtrer sur l’événement ID 4740 dans les logs de sécurité.

Ce qui va nous permettre de sortir seulement les événements de comptes verrouillés, mais surtout de savoir depuis quel ordinateur le compte a été verrouillé.

Si avec ceci cela ne fonctionne toujours pas, vous pouvez essayer l’outil LockoutStatus de Microsoft, bien que très vieux, il permet d’avoir quelques infos intéressantes comme le nombre de mauvais mot de passe et les DC sur lequel le compte a été verrouillé.

Ou encore avec Netwrix Account Lockout Examiner qui fonctionne très bien également.

Si vous utilisez d’autres méthodes, n’hésitez pas à les partager dans les commentaires.