Идентификатор события 4740: учетная запись пользователя была заблокирована [исправлено]

Поиск источника события важен для решения проблемы

Если учетная запись пользователя заблокирована, событие с идентификатором 4740 добавляется к контроллерам домена, а событие с идентификатором 4625 появляется на клиентских компьютерах. Он генерируется, когда учетная запись заблокирована из-за слишком большого количества неудачных попыток.

Событие содержит всю информацию о заблокированной учетной записи пользователя, времени блокировки и источнике неудачных попыток входа в систему (имя компьютера вызывающего абонента).

В этом руководстве мы обсудим все причины события ID 4740 и как найти источник блокировки учетной записи.

Кончик

Идентификатор события блокировки учетной записи может различаться в зависимости от версии Windows и используемого продукта безопасности.

Что вызывает событие с кодом 4740, учетная запись пользователя может быть заблокирована?

Существуют различные причины возникновения события. Некоторые из популярных упоминаются здесь:

• Слишком много неудачных попыток входа - Если пользователь вводит неверный пароль несколько раз их учетная запись может быть заблокирована, чтобы предотвратить дальнейшие попытки.
• Срок действия пароля – Учетная запись может быть заблокирована, если срок действия пароля пользователя истек, пока он не сбросит свой пароль.
• Параметры групповой политики – Ваша организация могла установить Параметры групповой политики которые блокируют учетные записи пользователей после определенного количества неудачных попыток входа в систему или по истечении определенного времени.

Что я могу сделать, чтобы определить источник блокировки учетной записи Event ID 4740?

1. Включить аудит для события 4740

1. Нажать на Поиск значок, тип Управление групповой политикойи нажмите Открыть.
2. Под Домен, щелкните правой кнопкой мыши Политика контроллеров домена по умолчанию и выберите Редактировать.
3. Теперь в следующем окне следуйте по этому пути: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Конфигурация расширенной политики аудита\Политики аудита\Управление учетными записями
4. На правой панели дважды щелкните на Аудит управления учетными записями пользователей.
5. Поставьте галочку на Успех и Отказ на Аудит свойств управления учетными записями пользователей окно.
6. Нажмите Применять и ХОРОШО.

2. Используйте PowerShell, чтобы найти роль эмулятора PDC 

1. Нажать на Поиск значок, тип PowerShellи нажмите Открыть.
2. Введите следующую команду, чтобы узнать контроллер домена, который выполняет роль PDC, и нажмите Enter: получить-домен | выберите эмулятор PDCE
3. Для поиска событий блокировки скопируйте и вставьте следующую команду и нажмите Enter: Get-WinEvent -FilterHashtable @{logname='security'; идентификатор = 4740}
4. Чтобы отобразить сведения о событии, скопируйте и вставьте следующую команду и нажмите Enter: Get-WinEvent -FilterHashtable @{logname='security'; идентификатор = 4740} | фл
5. Вы получите список событий входа в систему.

3. Использовать средство просмотра событий

• Нажать на Поиск значок, тип Просмотрщик событийи нажмите Открыть.
• На левой панели перейдите к Журналы Windows, затем нажмите Безопасность.
• На правой панели выберите Фильтровать текущий журнал.
• Поиск 4740 и нажмите ХОРОШО.
• Вы получите список событий. Нажмите на событие и проверьте подробности источника.

1. Скачайте и установите LockoutStatus.exe
2. Нажмите на Поиск значок, тип статус блокировкии нажмите Открыть.
3. Приложение проверит все события блокировки со всеми экземплярами, источниками и дополнительными сведениями.

Использование бесплатного инструмента устранения неполадок Active Directory, такого как NetTools помогает устранять неполадки, обновлять запросы и создавать отчеты по каталогам Active Directory и других протоколов облегченного доступа к каталогам. Это переносимый исполняемый файл, который позволяет просматривать разрешения Active Directory и устранять неполадки.

NetTools ищет в журналах событий события, относящиеся к учетной записи на выбранном контроллере домена. Кроме того, он может найти журналы событий любых рядовых серверов в цепочке аутентификации и может отображать информацию, связанную с причиной блокировки. Чтобы узнать источник, выполните следующие действия:

1. Скачать NetTools.
2. Распакуйте zip-файл и запустите исполняемый файл.
3. Инструмент запустится на левой панели; в разделе «Пользователи» выберите «Последний вход».
4. Введите Имя пользователя и сервер, и нажмите Идти.
5. NetTools покажет вам все данные для входа.
6. Отсортируйте результаты с помощью Столбец BadPwd. Первая запись в списке будет, когда учетная запись была в последний раз заблокирована.
7. Чтобы получить подробную информацию, щелкните правой кнопкой мыши контроллер домена с предыдущим временем блокировки и выберите Отображение сведений о событии.

Итак, это самые простые способы узнать источник блокировки аккаунта идентификатор события 4740. Как только вы получите источник, вы можете легко предпринять шаги, чтобы этого не произошло.

Вы уже пробовали некоторые из этих решений? Или, может быть, вы знаете другие способы решения этого идентификатора события Windows? Не стесняйтесь поделиться своим опытом с нами через раздел комментариев ниже.