Quem nunca se deparou com o caso de alguma conta de rede/login que está bloqueando sozinha no Active Directory? Onde o usuário não está errando a senha x vezes?
Motivos? Pode ser que você tenha trocado a senha do usuário e exista algum mapeamento de rede com o seu usuário, e, após a troca da senha, o mapeamento continua com a senha antiga, então após diversas tentativas o usuário é bloqueado ou então, algum usuário está tentando acessar o seu usuário, utilizando força bruta, pra tentar descobrir a senha, além disse a maquina que está “atacando” pode está infectada com vírus, possivelmente o famoso Conficker, a grande especialidade deste vírus é descobrir e roubar senhas, porém você ainda pode sofrer com alguns outros problemas caso sua máquina seja infectada por ele, são eles:
- Bloqueio de sites de segurança (sim ele faz o bloqueio para que você não consiga se atualizar)
- Bloqueio de contas do Active Directory continuamente (se você desbloquear ele bloqueia de novo)
- Desabilita serviços (ele baixa alguns principais serviços do Windows)
- Propagação pela rede
Para remove-lo veja aqui um artigo da Microsoft e siga as etapas para correção.
Mas como localizar nos logs do Windows (Event Viewer) a origem desse bloqueio, a máquina infectada para aplicar a correção?
No seu servidor Active Directory faça um filtro nos logs de segurança utilizando os ID’s abaixo:
| ID | Mensagem |
|---|---|
| 4720 | Uma conta de usuário foi criada. |
| 4722 | Uma conta de usuário foi habilitada. |
| 4723 | Foi feita uma tentativa para alterar a senha da conta. |
| 4724 | Foi feita uma tentativa para redefinir a senha da conta. |
| 4725 | Uma conta de usuário foi desativada. |
| 4726 | Uma conta de usuário foi excluída. |
| 4738 | Uma conta de usuário foi alterada. |
| 4740 | Uma conta de usuário foi bloqueada. |
A lista completa você encontra aqui.
Esperamos ajudar vocês, até logo!