Identyfikator zdarzenia 4740: Konto użytkownika zostało zablokowane [Poprawka]

Znalezienie źródła zdarzenia jest ważne dla rozwiązania problemu

Jeśli konto użytkownika zostanie zablokowane, do kontrolerów domeny zostanie dodane zdarzenie o identyfikatorze 4740, a na komputerach klienckich zostanie wyświetlone zdarzenie o identyfikatorze 4625. Jest generowany, gdy konto jest zablokowane z powodu zbyt wielu nieudanych prób.

Zdarzenie zawiera wszystkie informacje o zablokowanym koncie użytkownika, czasie blokady oraz źródle nieudanych prób logowania (nazwa komputera wywołującego).

W tym przewodniku omówimy wszystkie przyczyny zdarzenia o identyfikatorze 4740 oraz jak znaleźć źródło blokady konta.

Wskazówka

Identyfikator zdarzenia blokady konta może się różnić w zależności od wersji systemu Windows i używanego produktu zabezpieczającego.

Co powoduje zdarzenie o identyfikatorze 4740, konto użytkownika może zostać zablokowane?

Istnieje wiele powodów, dla których zdarzenie ma zostać wygenerowane. Niektóre z popularnych są wymienione tutaj:

• Zbyt wiele nieudanych prób logowania - Jeśli użytkownik wprowadzi nieprawidłowe hasło kilka razy, ich konto może zostać zablokowane, aby powstrzymać dalsze próby.
• Wygaśnięcie hasła – Konto może zostać zablokowane, jeśli hasło użytkownika wygasło do momentu zresetowania hasła.
• Ustawienia zasad grupy – Twoja organizacja mogła ustawić Ustawienia zasad grupy które blokują konta użytkowników po określonej liczbie nieudanych prób logowania lub po określonym czasie.

Co mogę zrobić, aby określić źródło blokady konta o identyfikatorze zdarzenia 4740?

1. Włącz audyt dla zdarzenia 4740

1. Kliknij na Szukaj ikona, typ Zarządzanie polityką grupyi kliknij otwarty.
2. Pod Domena, kliknij prawym przyciskiem myszy Domyślne zasady kontrolerów domeny i wybierz Edytować.
3. Teraz w następnym oknie podążaj tą ścieżką: Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zaawansowana konfiguracja zasad audytu\Zasady audytu\Zarządzanie kontami
4. W prawym okienku kliknij dwukrotnie Audyt zarządzania kontem użytkownika.
5. Umieść znacznik wyboru Powodzenie I Awaria na Sprawdź właściwości zarządzania kontami użytkowników okno.
6. Kliknij Stosować I OK.

2. Użyj programu PowerShell, aby znaleźć rolę emulatora kontrolera PDC 

1. Kliknij na Szukaj ikona, typ PowerShelli kliknij otwarty.
2. Wpisz następujące polecenie, aby poznać kontroler domeny, który pełni rolę kontrolera PDC, i naciśnij klawisz Enter: pobierz domenę | wybierz PDCEmulator
3. Aby wyszukać zdarzenia blokady, skopiuj i wklej następujące polecenie i naciśnij klawisz Enter: Get-WinEvent -FilterHashtable @{logname='security'; id=4740}
4. Aby wyświetlić szczegóły zdarzenia, skopiuj i wklej następujące polecenie i naciśnij klawisz Enter: Get-WinEvent -FilterHashtable @{logname='security'; id=4740} | fl
5. Otrzymasz listę zdarzeń logowania.

3. Użyj Podglądu zdarzeń

• Kliknij na Szukaj ikona, typ Podgląd zdarzeńi kliknij otwarty.
• W lewym okienku przejdź do Dzienniki systemu Windows, następnie kliknij Bezpieczeństwo.
• W prawym okienku wybierz Filtruj bieżący dziennik.
• Szukaj 4740 i kliknij OK.
• Otrzymasz listę wydarzeń Kliknij na wydarzenie i sprawdź szczegóły źródła.

1. Pobierz i zainstaluj LockoutStatus.exe
2. Kliknij Szukaj ikona, typ stan blokadyi kliknij otwarty.
3. Aplikacja sprawdzi wszystkie zdarzenia blokady ze wszystkimi instancjami, źródłami i dodatkowymi szczegółami.

Korzystanie z bezpłatnego narzędzia do rozwiązywania problemów z usługą Active Directory, takiego jak NetTools pomaga rozwiązywać problemy, aktualizować zapytania i raportować usługi Active Directory i inne katalogi protokołu Lightweight Directory Access Protocol. Jest to przenośny plik wykonywalny, który umożliwia przeglądanie i rozwiązywanie problemów z uprawnieniami usługi Active Directory.

NetTools przeszukuje dzienniki zdarzeń w celu zlokalizowania zdarzeń związanych z kontem na wybranym kontrolerze domeny. Może również znaleźć dzienniki zdarzeń dowolnych serwerów członkowskich w łańcuchu uwierzytelniania i może wyświetlić informacje związane z przyczyną blokady. Aby poznać źródło, wykonaj następujące kroki:

1. Pobierz NetTools.
2. Wyodrębnij plik zip i uruchom plik wykonywalny.
3. Narzędzie uruchomi się w lewym okienku; w obszarze Użytkownicy wybierz opcję Ostatnie logowanie.
4. Wejdz do Nazwa użytkownika I Serwer, i kliknij Iść.
5. NetTools pokaże Ci wszystkie dane logowania.
6. Posortuj wyniki za pomocą Kolumna BadPwd. Pierwszym wpisem na liście będzie data ostatniej blokady konta.
7. Aby uzyskać szczegółowe informacje, kliknij prawym przyciskiem myszy kontroler domeny z poprzednim czasem blokady i wybierz Wyświetl szczegóły wydarzenia.

Są to więc najłatwiejsze sposoby, aby dowiedzieć się źródło blokady konta identyfikator zdarzenia 4740. Po uzyskaniu źródła możesz łatwo podjąć kroki, aby temu zapobiec.

Czy wypróbowałeś już niektóre z tych rozwiązań? A może znasz inne metody rozwiązania tego identyfikatora zdarzenia systemu Windows? Zachęcamy do podzielenia się z nami swoją wiedzą w sekcji komentarzy poniżej.