Le blog technique

Les verrouillages de compte AD sont un problème courant rencontré par les utilisateurs d’Active Directory. Les causes courantes de verrouillage de compte AD:

• L’utilisateur a oublié qu’il a changé son mot de passe et continue à saisir le mauvais mot de passe, même après avoir déverrouillé le compte.
• Lorsque votre utilisateur modifie son mot de passe sur son poste de travail mais oublie de le mettre à jour sur ses appareils mobiles, l’appareil continuera à envoyer une requête ping au réseau, finissant (assez rapidement) par verrouiller le compte.
• Tâche planifiée configurée avec des informations d’identification de domaine pour s’exécuter. Si vous avez configuré des scripts ou d’autres processus pour qu’ils s’exécutent à l’aide des informations d’identification du domaine, vous pouvez vous retrouver avec un compte verrouillé si cette tâche n’est pas mise à jour lorsque vous modifiez le mot de passe.

• Parfois, lorsque le logiciel est installé, il installe des services qui s’exécutent sous certains comptes d’utilisateurs de domaine. Si vous modifiez le mot de passe utilisé par le compte dans Active Directory mais ne mettez pas à jour les services, ce service envoie une requête ping au domaine à chaque fois qu’il tente de s’authentifier et verrouille le compte.

• Sessions des services Terminal Serve: Il est possible, en absence des politiques appropriées, que les comptes restent connectés à RDP, RemoteApp, Citrix et à d’autres sessions basées sur les services Terminal Server. Un compte qui reste connecté ailleurs sur le domaine lorsque vous modifiez un mot de passe peut provoquer des verrouillages car le compte continuera à accéder au domaine pour se réauthentifier.

Dans ce qui suit, nous passerons en revue de l’outil ALTools (LockoutStatus.exe) permettant d’:

• Identifier la source du verrouillage du compte.
• Obtenir des informations sur le mot de passe d’un utilisateur (dernier changement, validité, dernier mot de passe erroné, …)
• Obtenir des informations sur l’état de verrouillage d’un compte (date, DC d’origine, …)
• Faire une recherche dans les journaux d’évènements sur plusieurs DC en parallèle

LockoutStatus.exe est une combinaison de ligne de commande et d’outil graphique qui affiche des informations de verrouillage sur un compte d’utilisateur particulier à télécharger depuis https://www.microsoft.com/en-us/download/details.aspx?id=18465 

1. Ouvrir le dossier dans lequel l’extraction ALTools a été faite et lancer .exe.

2. Accéder à File et cliquer sur Select Target.

3. Saisir le nom du compte qui continue à se verrouiller dans le champ Target User Name

4. Saisir le nom de domaine dans le champ Target Domain Name puis cliquer sur OK

Examiner les Résultats:

La fenêtre des résultats s’ouvre:

–> Examinez chaque ligne pour déterminer le contrôleur de domaine sur lequel l’authentification du compte de l’utilisateur a échoué.

–> Regardez la fin de chaque ligne pour déterminer la dernière fois où le compte n’a pas réussi à s’authentifier (heure de verrouillage).

 Rechercher l’événement de connexion pour déterminer l’ordinateur source

– Se connecter au contrôleur de domaine qui a été répertorié dans l’outil LockoutStatus, accéder à l’Observateur d’événements « Sécurité » et cliquer sur Filtrer le journal actuel puis taper 4740 dans les ID d’événement 

– Ouvrir l’un des événements et rechercher le nom de l’ordinateur source sous Informations supplémentaires. Cela vous indiquera de quelle machine proviennent les verrouillages de compte (Noter l’horodatage de cet événement)

Rechercher l’événement de connexion sur l’ordinateur source (Caller Computer)

– Se connecter à l’Observateur d’événements à l’ordinateur répertorié comme ordinateur source (Caller Computer)

– Ouvrir les journaux de sécurité et rechercher l’événement qui correspond à l’horodatage déjà noté ci-dessus.

– Ouvrir l’événement (Event ID 4625) et rechercher la raison d’échec ainsi que le nom du processus appelant. 

Lorsqu’aucun ordinateur source n’est répertorié

Parfois, vous ne verrez pas un appelant répertorié. Cela se produit lorsqu’un élément hors domaine est à l’origine du problème, par exemple un appareil mobile tel qu’un téléphone portable ou une tablette essayant de se connecter à un compte de messagerie ou à une application de services de terminal. Ces appareils peuvent être difficiles à localiser via des réseaux, car ils arrivent généralement via Internet .

Il est important de comprendre la différence entre les attributs de connexion, car ils sont utilisés pour différentes raisons. Lorsque vous utilisez PowerShell (Get–ADUser $user ), vous verrez trois propriétés lastlogon différentes: LastLogon , LastLogonTimeStamp , LastLogonDate

LastLogon 

lorsqu’un utilisateur se connecte, cet attribut est mis à jour sur le contrôleur de domaine qui a fourni UNIQUEMENT l’authentification. 

–> L’attribut lastlogon n’est pas répliqué entre les contrôleurs de domaine. Vous devez donc vérifier la valeur sur le contrôleur de domaine auquel l’utilisateur est connecté pour obtenir la bonne valeur.

 LastLogonTimeStamp

pour résumer cet attribut, il s’agit de la version répliquée de l’attribut LastLogon. Il est conçu pour aider à identifier les comptes inactifs et a généralement une latence de réplication allant jusqu’à 14 jours afin de réduire le trafic de réplication. Par conséquent, l’heure exacte de la dernière connexion n’est pas toujours à jour et les informations sont également stockées au format horaire NT qui doit être converti dans un format convivial.

–> L’attribut lastlogontimestamp est répliqué mais ne reflète pas la date et l’heure réelles de la dernière connexion.

LastLogonDate

Ce n’est pas un attribut, c’est plutôt c’est la valeur calculée du LastLogonTimeStamp lors de l’utilisation en PowerShell si vous souhaitez un format facile à lire du LastLogonTimeStamp.

Dans Active Directory (AD), la date de la dernière connexion est mise à jour lorsqu’un utilisateur ou un compte de service interagit avec le domaine d’une manière qui nécessite une authentification. Cela inclut la connexion à un ordinateur, l’accès aux ressources réseau ou l’utilisation de services tels que la messagerie électronique qui s’authentifient auprès d’Active Directory. Cette valeur est mise à jour dans un format convivial.

Si vous recevez un rapport de non-remise lors de l’envoi de mail avec le code d’erreur 5.1.8 et le texte suivant « Your message couldn’t be delivered because you weren’t recognized as a valid sender. The most common reason for this is that your email address is suspected of sending spam and it’s no longer allowed to send email. Contact your email admin for assistance. Remote Server returned ‘550 5.1.8 Access denied, bad outbound sender » c’est que votre compte a été ajouté aux Entités restreintes au niveau du portail Microsoft Defender d’Office 365.

Cette notification d’échec de remise est générée si vous tentez d’envoyer un e-mail et que vous dépassez la limite d’envoi ou si vous êtes signalé par les filtres anti-spam de Microsoft. Vous ne pouvez pas envoyer d’e-mails, mais vous pouvez toujours en recevoir. 

Afin de débloquer un utilisateur, suivez les étapes indiquées ci-dessous:

1. Connectez-vous au portail Microsoft 365 Defender (https://security.microsoft.com/)

2. Une fois connecté, accédez à la page Utilisateurs restreints en cliquant sur ce lien direct : https://security.microsoft.com/restrictedusers   

3.  Repérer l’utilisateur à débloquer en faisant défiler la liste ou en utilisant le champ de recherche.   

4. Affichez les détails sur l’utilisateur en cliquant sur le nom de l’utilisateur pour afficher plus de détails sur son blocage. La page « Détails de l’utilisateur » vous montrera la raison du blocage.

5. Débloquer l’utilisateur en cliquant sur le bouton « Débloquer l’utilisateur » sur la page « Détails de l’utilisateur ». Un message de confirmation apparaîtra vous demandant de confirmer l’action. Cliquez sur « Oui » pour procéder au déblocage de l’utilisateur.   

6. Vérifiez que l’utilisateur est débloqué: Après confirmation, l’utilisateur sera supprimé de la liste restreinte et pourra envoyer de nouveau des messages.