מזהה אירוע 4740: חשבון משתמש ננעל [תיקון]

מציאת מקור האירוע חשובה כדי לפתור את הבעיה

אם חשבון משתמש ננעל, מזהה אירוע 4740 נוסף לבקרי תחום, ומזהה אירוע 4625 מופיע במחשבי לקוח. זה נוצר מתי חשבון נעול בגלל יותר מדי ניסיונות כושלים.

לאירוע יש את כל המידע על חשבון המשתמש שננעל, שעת הנעילה ומקור ניסיונות ההתחברות הכושלים (שם מחשב המתקשר).

במדריך זה, נדון בכל הסיבות למזהה האירוע 4740 וכיצד למצוא את מקור נעילת החשבון.

עֵצָה

מזהה האירוע עבור אירוע נעילת חשבון עשוי להשתנות בהתאם לגרסת Windows ולמוצר האבטחה שבו נעשה שימוש.

מה גורם לאירוע מזהה 4740, ייתכן שחשבון משתמש ננעל?

ישנן סיבות שונות להיווצרות האירוע. כמה מהפופולריים מוזכרים כאן:

• יותר מדי ניסיונות כניסה כושלים - אם המשתמש מזין סיסמה שגויה מספר פעמים, ייתכן שהחשבון שלהם יינעל בחוץ כדי לעצור ניסיונות נוספים.
• תפוגת סיסמא - ייתכן שהחשבון יינעל בחוץ אם תוקף הסיסמה של משתמש פג עד שהוא יאפס את הסיסמה שלו.
• הגדרות מדיניות קבוצתית – ייתכן שהארגון שלך הגדיר הגדרות מדיניות קבוצתית שנועלים את חשבונות המשתמש לאחר מספר מסוים של ניסיונות כניסה כושלים או לאחר זמן מסוים.

מה אני יכול לעשות כדי לקבוע את המקור של נעילת חשבון אירוע מזהה 4740?

1. אפשר ביקורת עבור אירוע 4740

1. הקלק על ה לחפש סמל, הקלד ניהול מדיניות קבוצתית, ולחץ לִפְתוֹחַ.
2. תַחַת תְחוּם, לחץ לחיצה ימנית על מדיניות ברירת המחדל של בקרי דומיין ובחר לַעֲרוֹך.
3. כעת בחלון הבא, עקוב אחר הנתיב הזה: תצורת מחשב\מדיניות\הגדרות Windows\הגדרות אבטחה\תצורת מדיניות ביקורת מתקדמת\מדיניות ביקורת\ניהול חשבון
4. בחלונית הימנית, לחץ פעמיים על ביקורת ניהול חשבון משתמש.
5. שימו סימון הַצלָחָה ו כישלון על בדוק את מאפייני ניהול חשבון המשתמש חַלוֹן.
6. נְקִישָׁה להגיש מועמדות ו בסדר.

2. השתמש ב- PowerShell כדי למצוא את תפקיד האמולטור של PDC 

1. הקלק על ה לחפש סמל, הקלד פגז כוח, ולחץ לִפְתוֹחַ.
2. הקלד את הפקודה הבאה כדי לדעת את בקר התחום שמחזיק בתפקיד PDC והקש Enter: get-addomain | בחר PDCEmulator
3. כדי לחפש באירועי הנעילה, העתק והדבק את הפקודה הבאה והקש Enter: Get-WinEvent -FilterHashtable @{logname='security'; id=4740}
4. כדי להציג את פרטי האירוע, העתק והדבק את הפקודה הבאה והקש Enter: Get-WinEvent -FilterHashtable @{logname='security'; id=4740} | fl
5. תקבל את רשימת אירועי הכניסה.

3. השתמש במציג אירועים

• הקלק על ה לחפש סמל, הקלד צופה באירועים, ולחץ לִפְתוֹחַ.
• בחלונית השמאלית, עבור אל יומני Windows, ואז לחץ בִּטָחוֹן.
• מהחלונית הימנית, בחר סינון יומן נוכחי.
• לחפש 4740 ולחץ בסדר.
• תקבלו רשימת אירועים לחצו על האירוע ובדקו את פרטי המקור.

1. הורד והתקן את LockoutStatus.exe
2. לחץ על לחפש סמל, הקלד מצב נעילה, ולחץ לִפְתוֹחַ.
3. האפליקציה תבדוק את כל אירועי הנעילה עם כל המקרים, המקורות והפרטים הנוספים.

שימוש בכלי חינמי לפתרון בעיות של Active Directory כמו NetTools עוזר לפתור בעיות, לעדכן שאילתות ולדווח על Active Directory וספריות אחרות של Lightweight Directory Access Protocol. זהו קובץ הפעלה נייד המאפשר לך להציג ולפתור הרשאות Active Directory.

NetTools מחפש ביומני האירועים כדי לאתר אירועים הרלוונטיים לחשבון בבקר התחום שנבחר. כמו כן, הוא יכול למצוא את יומני האירועים של כל שרתי חבר בשרשרת האימות ויכול להציג את המידע הקשור לסיבה לנעילה. כדי לדעת את המקור, בצע את השלבים הבאים:

1. הורד את NetTools.
2. חלץ את קובץ ה-zip והפעל את קובץ ההפעלה.
3. הכלי יופעל בחלונית השמאלית; תחת משתמשים, בחר כניסה אחרונה.
4. להיכנס ל שם משתמש ו שרת, ולחץ ללכת.
5. NetTools יראה לך את כל פרטי הכניסה.
6. מיין את התוצאות באמצעות עמודה BadPwd. הכניסה הראשונה ברשימה תהיה כאשר החשבון ננעל לאחרונה.
7. כדי לקבל פרטים, לחץ לחיצה ימנית על בקר התחום עם זמן הנעילה הקודם ובחר הצגת פרטי האירוע.

אז אלה הדרכים הקלות ביותר לגלות את מקור נעילת החשבון מזהה אירוע 4740. ברגע שתקבל את המקור, אתה יכול בקלות לנקוט בצעדים כדי למנוע את התרחשותו.

האם כבר ניסית חלק מהפתרונות הללו? או אולי אתה מכיר שיטות אחרות לפתור את מזהה האירוע הזה של Windows? אל תהסס לחלוק איתנו את המומחיות שלך דרך קטע ההערות למטה.