מי נעל את המשתמש שלי? (או: טיפים לאיתור וטיפול בבעיות משתמשים שננעלים סתם כך, ללא שום סיבה הנראית לעין)

9 באפריל 2012

8 תגובות

 

NetanelBenShushanמאת: נתנאל בן-שושן, מנהל תחום Microsoft באנקור ו- Microsoft MVP

 

קוראים וקוראות נכבדים,

אחרי ששאלו אותי מספר (רב) של פעמים למה חשוב להריץ Sysprep לפני שכפול מכונות, ועל חשיבות ה- Exclusions באנטי-וירוסים, אני שם לב שהשאלה הבאה (בתור במספר השאלות הנפוצות – FAQ) היא איתור הגורם לנעילת חשבון המשתמש.

הנה, לקוח שלי כותב לי שאלה (שחוזרת על עצמה מספר פעמים במייל שלי בואריאציות שונות):

"הי נתנאל, לאחד המשתמשים בארגון ננעל חשבון המשתמש ב- Active Directory כל פעם. זה יכול לקרות אחת ליום, פעמיים ביום ויש ימים שהוא לא ננעל כלל. אפילו וידאתי שהוא מקיש את הסיסמא נכון פעם אחר פעם, אבל הוא שוב ננעל. תוכל לסייע לי בנושא? אגב, כשאתה שוב קופץ אלינו אני צריך את המתכון לפנקייק'ס שאתה מכין".

ובכן, הבעיה מוכרת וכל מה שדרוש לנו הוא מעט סבלנות, גישה ל- Domain Controllers, ידע והכלים המתאימים לעבודה. שנתחיל?

אני ממליץ תמיד לקחת דף ועט (או לפתוח Document חדש ב- Word) ולהתחיל בתהליך המיפוי של הרכיבים בהם המשתמש עושה שימוש, האם הוא עושה שימוש ביותר ממחשב אחד, האם הוא עושה שימוש בהתקנים ניידים, משימות מתוזמנות או Services שפועלים במעטה ההרשאות שלו.

קרה, קורה (ואני מניח שגם יקרה), שאני מגיע ללקוחות שהמשתמשים שלהם ננעלים ולאחר מיפוי קצרצר שכזה אנו מגיעים למסקנה שהסיסמא עבור ה- E-mail בטלפון הנייד לא שונתה, ולמעשה המשתמש ננעל. או שיש Scheduled Tasks/Services שפועלים עם ההרשאות של המשתמש, אך שוב כאמור, המשתמש שכח לשנות את הסיסמא בכל אותם מקומות. תכנון של כמה דקות יכול לחסוך עוגמת נפש וריצות ושיערות לבנות.

לאחר המיפוי, התחילו במלאכת האיתור, כפי שציינתי למעלה, עברו על כל המחשבים שהמשתמש עושה בהם שימוש ונברו במקומות שציינתם – לדוגמה סיסמאות של Services, Tasks, התקנים ניידים וודאו שהסיסמאות עדכניות. עדיין המשתמש ננעל? עוברים לשלב ב'.

שלב ב' דורש מאיתנו גישה ל- Domain Controllers והפעלת Auditing עליהם לטובת איתור הגורם לנעילה וכלים מתאימים לפעולה, ניתן להוריד בחינם ממיקרוסופט חבילת כלים שיכולה לסייע בגישוש אחר הגורם לבעיה, החבילה נקראת Account Lockout and Management Toolsכut and Management Toolsחבילה נקראת חינם ממיקרוסופט חבילת כלים שיכולה לסייע בפענוח ם שימוש ונברו במקומות שציינתם – לדוגמה ידים, ומכילה כלים כמו LockoutStatus.exe ו- EventCombMT.exe שיכולים לסייע באבחון הבעיה.

לעצלנים מבנינו (או לאלו שיכולים להרשות לעצמם רכישה של כלי צד ג') ניתן לגשת למנוע החיפוש המועדף עליכם, ולרכוש כלים שיכולים לסייע במלאכת הגישוש אחר הגורם לנעילה (שוב כאמור, מרבית הכלים דורשים הפעלת Auditing בצורה כזו או אחרת על ה- DCs). כלי טוב שמסייע לי ולצוות שלי רבות בסיוע ללקוחות בנושא הוא הכלי של חברת NetWrix, את הכלי ניתן להוריד בגרסת Trial ולהתרשם ממנו ולרכוש אותו. והוא מסייע בקלות (שתי לחיצות כפתור) לקבלת חיווי מפורט אחר מעללי המשתמש במקומות שונים והיכן הוא ננעל.

אם הדו"חות לא מספיק מפורטים או המשתמש עדיין ממשיך להינעל, צריך לעבור לשלב ג' – סריקת המחשב מפני תוכנות זדוניות באמצעות תוכנית אנטי-וירוס עדכנית, הנה, עוד מקרה שקרה לי, ובו הפעם התגלתה התולעת Conficker.B שביצעה מתקפת Brute-force למספר חשבונות משתמשים, מלבד התחנות, מומלץ לסרוק גם את ה- Domain Controllers בארגון ולקבל חיווי במערכת ניהול מסודרת אחר סטטוס התחנות והשרתים בארגון לאחר On-Demand scan.

אם כל זה לא עזר, תמיד אפשר לצור איתי קשר, ואני אשתדל להגיע ולסייע ככל שניתן בנושא :-).

 

לסיכום

השתדלתי לרכז בפוסט זה מספר נקודות וטיפים בנושא איתור וטיפול בבעיות נעילות משתמשים, מומלץ מלבד לנקודות הללו להתייחס ל- Best Practices שמיקרוסופט מעניקים בנושא ה- Account Lock Out לטובת עבודה נכונה בנושא. מלבד הנקודות, הטיפים והכלים שצוינו – בנוגע לשאלה השנייה של הלקוח שלי – המתכון לפנקייק'ס מכאן. אפשר לאכול אותם תוך כדי Troubleshooting של החשבונות שננעלו…

חג שמח!

 

אודות המחבר

נתנאל בן-שושן (CCA, CSA, JNCIA-SSL, MCSA/E, MCTS, MCITP) מנהל תחום Microsoft באנקור תשתיות מחשוב ו- Microsoft MVP. נתנאל מתמחה בעיקר בתשתיות מיקרוסופט, תקשורת נתונים ואבטחת מערכות מידע. נתנאל מפעיל את האתר http://www.ben-shushan.net המכיל מידע רב בשפה העברית בתחום ה- IT, ואת הבלוג http://blogs.microsoft.co.il/blogs/netanelb.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

8 תגובות

  1. דפי צביעה18 באפריל 2012 ב 14:34

    תנסה את הפנקיק של הדס, המתכון מופיע בhttp://www.2eat.co.il ..
    🙂

    הגב
  2. טל19 באפריל 2012 ב 18:05

    מה עם מחשב חדש שהרגע הותקן, או מחשב מותג שהרגע הופעלה מערכת ההפעלה שלו, נתקלתי לפחות בשתי מקרים בהם המשתמש ננעל ואפילו לא הוגדרה סיסמא.
    האם ידוע לך משהו על הבעיה הזאת?
    הפתרון שמצאתי ומאז לא נתקלתי עם בבעיות זה פשוט להגיד סיסמא באופן ידני ולבטל אותה.

    הגב
  3. נתנאל בן-שושן22 באפריל 2012 ב 19:53

    דפי צביעה – אין על הפנקייקס המקוריים שלקחתי מהמתכון הזה… 😛

    טל – לעיתים נתקלתי בבעיות שכאלו עם מחשבי OEM, בהם הוגדרה סיסמת משתמש מסוימת ובעת הפעלת ה- Image של ה- OEM, היו בעיות שכאלו… ממה שנימסר לי מאותו יצרן ספציפי, שמדובר בטעות ב"Image Engineering". אך כל מקרה לגופו, אני מציע לך לצור קשר עם ספק החומרה שלך בנושא\OEM של המחשב ולקבל ממנו תמיכה בנושא.

    נתנאל.

    הגב
  4. גיא3 במאי 2012 ב 12:09

    בדף ההורדה לא רשום שתומך ב 2008 windows, יש כלי אחר עבור שרתים אלו?

    הגב
  5. גיא3 במאי 2012 ב 12:15

    בהמשך להודעה הקודמת, כמובן תודה רבה 🙂

    הגב
  6. ערן13 ביוני 2013 ב 7:42

    יש לי משתמש בשרת 2008 שלמרות שאני מסמן
    Unlock account ב Account ומאשר החשבון לא משתחרר
    יש רעיונות ?

    הגב