Comment trouver l'origine 
du verrouillage d'un compte


Nous ne partageons jamais vos données. Privacy Policy
Solution native Netwrix Auditor for Active Directory
Étapes
  1. Ouvrez le Powershell ISE sur votre contrôleur de domaine → exécutez le script Powershell suivant :

Import-Module ActiveDirectory
$UserName = Read-Host "Please enter username"
#Get main DC
$PDC = (Get-ADDomainController -Filter * | Where-Object {$_.OperationMasterRoles -contains "PDCEmulator"})
#Get user info
$UserInfo = Get-ADUser -Identity $UserName
#Search PDC for lockout events with ID 4740
$LockedOutEvents = Get-WinEvent -ComputerName $PDCEmulator.HostName -FilterHashtable @{LogName='Security';Id=4740} -ErrorAction Stop | Sort-Object -Property TimeCreated -Descending
#Parse and filter out lockout events
Foreach($Event in $LockedOutEvents)
  {
    If($Event | Where {$_.Properties[2].value -match $UserInfo.SID.Value})
    {

      $Event | Select-Object -Property @(
        @{Label = 'User'; Expression = {$_.Properties[0].Value}}
        @{Label = 'DomainController'; Expression = {$_.MachineName}}
        @{Label = 'EventId'; Expression = {$_.Id}}
        @{Label = 'LockoutTimeStamp'; Expression = {$_.TimeCreated}}
        @{Label = 'Message'; Expression = {$_.Message -split "`r" | Select -First 1}}
        @{Label = 'LockoutSource'; Expression = {$_.Properties[1].Value}}
      )

    }}

  1. Exemple de rapport :
PowerShell account lockout sources report
  1. Exécuter Netwrix Auditor → Naviguer jusqu'à "Search" → Spécifier les critères suivants :
    • Filtre – "What"
      Opérateur – "Contains"
      Valeur – "<nom d'utilisateur du compte>"
    • Filtre – "Details"
      Opérateur – "Contains"
      Valeur – "Locked out"
  2. Cliquez sur "Search" et consultez les résultats.
Netwrix Auditor Interactive Search report: shows account lockout sources

Retrouvez l’origine et la justification d’un verrouillage de compte avec PowerShell ou Netwrix Auditor

Un verrouillage de compte faisant suite à plusieurs tentatives d’authentification infructueuses est une politique courante dans les environnements Microsoft Windows. Les verrouillages peuvent avoir plusieurs causes : utilisateur saisissant un mauvais mot de passe, informations d’identification en cache utilisées par un service ayant expiré, erreurs de réplication de compte Active Directory, mappages incorrects de lecteurs partagés, sessions de terminal déconnectées sur un serveur Windows ou appareil mobile accédant à Exchange Server, etc.

Avant de déverrouiller un compte, vous devez trouver la raison du verrouillage, afin de pouvoir atténuer les risques de sécurité et éviter que le même problème ne se reproduise. PowerShell peut s’avérer utile pour déterminer la raison du verrouillage d’un compte et son origine ; le script ci-dessus permet de rechercher les verrouillages liés à un compte utilisateur unique en examinant tous les événements dont l’ID est 4740 dans le journal de sécurité. Il fournit les détails nécessaires à une enquête plus approfondie : l’ordinateur sur lequel le compte a été verrouillé et l’heure du verrouillage.

Si PowerShell vous rebute, Netwrix Auditor vous propose deux moyens pratiques de trouver l’origine des verrouillages de comptes. Vous pouvez en toute facilité enquêter de manière approfondie sur un incident particulier grâce à une recherche interactive, comme illustré ci-dessus, ou examiner tous les verrouillages de comptes de tous les utilisateurs sur tous les contrôleurs de domaine de votre environnement dans un seul rapport prédéfini.