• 欢迎访问IT圈老男孩的新博客,本博客推荐使用最新版火狐浏览器或Chrome浏览器访问本网站,并欢迎各位老铁加入QQ交流群 QQ群
  • 博客新开通微信、QQ、微博、GitHub登陆接口,欢迎体验 登陆地址
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏本站吧

AD账号锁定逆向查询

Windows Server IT圈老男孩 10个月前 (11-05) 2979次浏览 已收录 0个评论 扫描二维码

最近不知道咋了,好多客户的AD账号经常被锁,而且近期我在某知名论坛内也发现有朋友在问,AD账号锁定了,可以查到在哪个IP,或哪个客户端锁定的吗。

其实微软在早期发布过一款工具,这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端,这款工具叫做:Lockoutstatus

Lockoutstatus下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=15201

1、今天简单给大家介绍下如何利用这款工具逆向追踪到锁定的客户端的。废话不多说,首先我们下载Lockoutstatus,并拷贝到任意一台域控服务器上,安装我就不过多介绍了,其实就是一路下一步,但需要大家记住的是下面这个截图,也就是您的安装路径,因为一会安装完成后需要到这个路径下找到安装完成的应用程序,程序自身不会创建快捷方式。

2、安装完成后大家可以手动创建一个快捷方式。

3、为了演示,我随便使一个账号锁定,如图所示:

4、那么接下来,我们双击刚才安装完成那个软件,如图所示:

5、点击文件选项File,选择目标Select Target

6、在目标用户名列写出需要查询的域账号(被锁账号),点击OK

7、扫描完成后,你可以找到很多账号锁定信息,包括DC名,站点,账号状态,错误密码计数器,和最后一次错误密码时间。(由于我这是测试环境,只有一台AD,真实环境会有很多,一定要找那个最后一次错误密码时间)

8、找寻到最后一条错误时间记录,并找到相应的DC名,登录到这台域控。

9、登录后打开事件查看器,选择安全日志(如果时间长了的话,可以找日志备份)

10、如果日志太多,可以使用筛选功能进行查找。

11、根据刚才工具提示,我的测试账号是在13:22:10锁定的,所以我就找这个时间的日志。

12、我们可以清楚的看到,我的账号是在EXSRV01这台计算机上锁定的。

13、其实到这里还算结束,其实我们是可以看到最后一次登录这台(EXSRV01)电脑的用户是谁。

  • 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。
get-wmiobject -computername 计算机名称 win32_computersystem | format-list username
  • 系统最终查询出的账号是 ITSoul\Administrator

  • 也就是说,目前这台名为EXSRV01的客户机是域用户Administrator正在使用。

  • 亲们剩下的就是你们可以指着用户的鼻子质问他了。

IT圈老男孩 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:AD账号锁定逆向查询
广告
喜欢 (1)
[daodefangxiang]
分享 (0)
IT圈老男孩
关于作者:
版主是一位微软技术爱好者,钻研者。2018年度获得微软最有价值专家(Microsoft MVP),目前就职于国资委旗下的一家子公司,具体丰富的微软UC项目经验,在公司主要负责微软UC项目的架构设计、实施、问题排查等工作。
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址