ID do evento 4740: uma conta de usuário foi bloqueada [Corrigir]

Encontrar a origem do evento é importante para resolver o problema

Se uma conta de usuário for bloqueada, a ID de evento 4740 será adicionada aos controladores de domínio e a ID de evento 4625 aparecerá nos computadores clientes. É gerado quando

uma conta está bloqueada devido a muitas tentativas falhadas.

O evento contém todas as informações sobre a conta do usuário que foi bloqueada, a hora do bloqueio e a origem das tentativas de login com falha (nome do computador do chamador).

Neste guia, discutiremos todos os motivos do evento ID 4740 e como encontrar a origem dos bloqueios de conta.

Dica

A ID de evento para um evento de bloqueio de conta pode variar dependendo da versão do Windows e do produto de segurança usado.

O que causa o evento ID 4740, uma conta de usuário pode ser bloqueada?

Existem vários motivos para o evento ser gerado. Alguns dos mais populares são mencionados aqui:

• Muitas tentativas de login com falha - Se um o usuário insere uma senha incorreta várias vezes, sua conta pode ser bloqueada para impedir novas tentativas.
• Expiração da senha – A conta pode ser bloqueada se a senha de um usuário expirar até que ele redefina sua senha.
• Configurações de política de grupo – Sua organização pode ter definido Configurações de política de grupo que bloqueiam as contas de usuário após um número específico de tentativas de login malsucedidas ou após um determinado período de tempo.

O que posso fazer para determinar a origem do bloqueio de conta do Event ID 4740?

1. Ativar auditoria para o evento 4740

1. Clique no Procurar ícone, digite Gerenciamento de políticas de grupo, e clique Abrir.
2. Sob Domínio, clique com o botão direito em Política padrão de controladores de domínio e selecione Editar.
3. Agora, na próxima janela, siga este caminho: Configuração do computador\Políticas\Configurações do Windows\Configurações de segurança\Configuração avançada de política de auditoria\Políticas de auditoria\Gerenciamento de contas
4. No painel direito, clique duas vezes em Auditoria de gerenciamento de conta de usuário.
5. Coloque uma marca de seleção em Sucesso e Falha no Auditar as propriedades de gerenciamento da conta do usuário janela.
6. Clique Aplicar e OK.

2. Use o PowerShell para encontrar a função do emulador PDC 

1. Clique no Procurar ícone, digite PowerShell, e clique Abrir.
2. Digite o seguinte comando para saber o controlador de domínio que contém a função PDC e pressione Enter: get-addomain | selecione PDCEmulator
3. Para pesquisar os eventos de bloqueio, copie e cole o seguinte comando e pressione Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}
4. Para exibir os detalhes do evento, copie e cole o seguinte comando e pressione Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl
5. Você obterá a lista de eventos de logon.

3. Usar visualizador de eventos

• Clique no Procurar ícone, digite Visualizador de eventos, e clique Abrir.
• No painel esquerdo, vá para Registros do Windows, então clique Segurança.
• No painel direito, selecione Filtrar registro atual.
• Procurar 4740 e clique OK.
• Você receberá uma lista de eventos Clique no evento e confira os detalhes da fonte.

1. Baixe e instale LockoutStatus.exe
2. Clique no Procurar ícone, digite status de bloqueio, e clique Abrir.
3. O aplicativo verificará todos os eventos de bloqueio com todas as instâncias, fontes e detalhes adicionais.

Usando uma ferramenta gratuita de solução de problemas do Active Directory, como NetTools ajuda a solucionar problemas, atualizar consultas e relatar o Active Directory e outros diretórios Lightweight Directory Access Protocol. É um arquivo executável portátil que permite visualizar e solucionar problemas de permissões do Active Directory.

O NetTools pesquisa os logs de eventos para localizar eventos relevantes para a conta no controlador de domínio selecionado. Além disso, ele pode encontrar os logs de eventos de quaisquer servidores membros na cadeia de autenticação e pode exibir as informações relacionadas ao motivo do bloqueio. Para saber a fonte, siga estes passos:

1. Baixar NetTools.
2. Extraia o arquivo zip e execute o arquivo executável.
3. A ferramenta será iniciada no painel esquerdo; em Usuários, selecione Último logon.
4. Introduzir o Nome de usuário e Servidor, e clique Ir.
5. O NetTools mostrará todos os detalhes de login.
6. Ordene os resultados usando o Coluna BadPwd. A primeira entrada na lista será quando a conta foi bloqueada pela última vez.
7. Para obter detalhes, clique com o botão direito do mouse no controlador de domínio com o tempo de bloqueio anterior e escolha Exibir detalhes do evento.

Então, essas são as maneiras mais fáceis de descobrir o fonte de bloqueio de conta ID do evento 4740. Depois de obter a fonte, você pode facilmente tomar medidas para evitar que isso aconteça.

Você já experimentou algumas dessas soluções? Ou talvez você conheça outros métodos para resolver esse ID de evento do Windows? Sinta-se à vontade para compartilhar sua experiência conosco através da seção de comentários abaixo.