如何自动为AD域用户解锁账号？

您是否曾因登录尝试失败而被锁定在系统之外？如果是这样，那是因为帐户锁定阈值策略。在大多数情况下，失败的登录尝试是偶然的，通常在用户忘记详细信息或错误提交凭据时发生。

但是，有些人会故意尝试登录您的帐户并尝试破解密码。因此，为了阻止或防止任何数据丢失，用户帐户将远程攻击者拒之门外。

拒绝服务 (DoS) 攻击和恶意猜测用户密码是用户帐户可能面临的一些独特威胁。因此，为了保护内部数据，必须采用预先配置的锁定策略。

在这里，我们将讨论帐户锁定和 Active Directory 中帐户锁定策略的主要元素。

什么是帐户锁定？

设备所有者可能非常熟悉锁定的做法，因为它已经存在了很长时间。例如，大多数 iPhone 用户会面临定时锁定（在密码尝试失败后禁用屏幕一段时间）。对于个人设备，用户甚至可以在多次尝试失败后选择清除设备。

但是，远程系统的情况有些不同。我们的服务器承载大量日常信息，并定期与团队成员共享。清除服务器或资源（如个人设备）不是解决方案，并且可能在未来造成大量损失。

相反，管理员必须引入策略来阻止此类帐户。

攻击者总是在移动，可以将您的帐户作为攻击和利用网络安全漏洞的目标。通过禁用该帐户，您可以阻止攻击者，然后采取措施添加另一层保护，例如更改密码等。

事实上，使用锁定策略，真正的所有者也会在一段时间内无法访问关键资源。实施帐户锁定策略的主要目的是减少在线密码猜测攻击并检查潜在的安全漏洞。查看锁定策略的主要元素和一些防止数据丢失的注意事项。

Active Directory 帐户锁定策略的主要元素

每个设备或服务器都有一个锁定策略，以保护数据免受威胁和未经授权的用户的侵害。每当用户提交凭据时，系统就会开始监视登录行为并根据需要采取必要的操作。在帐户锁定策略中，包含三个主要元素：

• 帐户锁定阈值每次用户进行错误的登录尝试时，都会影响称为 badPwdCount 的属性。初始失败登录会将计数变为一。如果用户在一定次数后继续尝试登录失败，则该帐户将被锁定。Active Directory 允许 0 到 999 之间的数字，但是，其默认值为 0。设置值为零的帐户几乎不会自动锁定。
• 帐户锁定持续时间此元素决定帐户将保持锁定状态的分钟数。管理员有权设置 0 到 99,999 之间的值。请记住，时间一到，您的帐户将自动解锁，除非管理员将持续时间设置为零。在这种情况下，只有管理员可以通过连接 Active Directory、其用户和计算机 (ADUC) 控制台来手动解锁这些受影响的帐户。
• Reset Account Lockout Counter After该元素定义重置失败登录计数器需要多长时间。例如，用户提交了错误的密码，使登录失败计数器变为 1。如果用户停止并且不再尝试，则计数将变为零。但是，如果用户继续并超过锁定持续时间值，则身份验证系统将锁定该帐户。解锁后，计数器将自行重置以重新开始。

锁定策略注意事项

导致 Active Directory 帐户锁定的原因有很多，例如提交过时的服务登录密码、使用过时凭据的驱动器映射、用户从多个设备访问 AD 等。

为防止用户帐户受到 DoS 攻击，Microsoft 建议将阈值设置为 0 或较大的数字，锁定时间约为 15 分钟。设置为零的阈值可防止拒绝服务 (DoS) 攻击。

管理员还必须配置警报以立即通知团队成员有关失败的登录事件。

根据您注意到的锁定实例的数量以及适合您的环境的方法采用一种方法。应用允许管理 Active Directory 中的帐户重置尝试次数的锁定策略。

如何使用 PowerShell 解锁 Active Directory 中的用户帐户

首先，您需要将 RSAT-AD-Powershell 模块导入到您的会话中。您可以使用以下命令导入它：

Import-module Active Directory

要检查用户帐户是否被锁定，请在 PowerShell 中运行以下命令：

Get-ADUser -Identity hjethva -Properties LockedOut | Select-Object samaccountName,Lockedout| ft -AutoSize

如果帐户被锁定，您将获得以下输出：

samaccountName    Lockedout
--------------                  ---------
(       ,                         True

如果要查看用户锁定时间，请运行以下命令：

Get-ADUser hjethva -Properties Name,lockoutTime | Select-Object Name,@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}

您将获得以下输出：

Name                lockoutTime
----                    -----------
hitesh jethva    2/12/21 4:30:32 OM

要获取所有被锁定帐户的列表，请运行以下命令：

Search-ADAccount -LockedOut

您将获得以下列表：

AccountExpirationDate :
DistinguishedName     : CN=hitesh jethva,OU=IT Users,DC=ad,DC=example,DC=com
Enabled               : True
LastLogonDate         :
LockedOut             : True
Name                  : hitesh jethva
ObjectClass           : user
ObjectGUID            : 32638462-1294-2387-2398-df8723871253
PasswordExpired       : True
PasswordNeverExpires  : False
SamAccountName        : hjethva
SID                   : S-1-2-22-2022894387-1594857317-8702342956-1422
UserPrincipalName     : hjethva@example.com

AccountExpirationDate :
DistinguishedName     : CN=vyom shah,OU=IT Users,DC=ad,DC=example,DC=com
Enabled               : True
LastLogonDate         :
LockedOut             : True
Name                  : vyom shah
ObjectClass           : user
ObjectGUID            : 32939862-1391-2157-2918-af8224875263
PasswordExpired       : True
PasswordNeverExpires  : False
SamAccountName        : vshah
SID                   : S-1-2-22-2022894387-1594857317-8702342956-1422
UserPrincipalName     : vshah@example.com

AccountExpirationDate :
DistinguishedName     : CN=jay shah,OU=IT Users,DC=ad,DC=example,DC=com
Enabled               : True
LastLogonDate         :
LockedOut             : True
Name                  : jay shah
ObjectClass           : user
ObjectGUID            : 86932362-5331-2656-2218-ff4225875a62
PasswordExpired       : True
PasswordNeverExpires  : False
SamAccountName        : jshah
SID                   : S-1-2-22-2022894387-1594857317-8702342956-1422
UserPrincipalName     : jshah@example.com

要解锁单个用户帐户，请运行以下命令：

Get-ADUser -Identity hjethva | Unlock-ADAccount

或者

Unlock-ADAccount -Identity hjethva

要解锁所有锁定的用户帐户，请运行以下命令：

Search-ADAccount -Lockedout | Unlock-AdAccount

结论

当用户超过失败的登录尝试集时，将发生帐户锁定。在设备、服务器和 Active Directory 中实施帐户锁定的目的是防止任何未经授权的用户进入您的帐户并访问敏感信息。

帐户锁定可能由于多种原因而发生，例如错误的密码限制、具有缓存凭据的程序、用户忘记更新存储的密码、提交过期的服务登录密码、用户从多个设备访问 AD 等。

毫无疑问，大多数人都面临过忘记密码的问题，并且会通过提交错误的密码来锁定他们的账户。如果您还记得在第一次登录尝试失败后，屏幕会显示一个数字，说明用户还剩多少次尝试。当超过阈值时，帐户将被锁定。

该方法有助于减缓所有在线密码猜测攻击。帐户锁定策略的另一个好处是它有助于使用暴力尝试检查潜在的安全漏洞。

您可以通过采用严格的帐户锁定策略来保护您的数据免受拒绝服务 (DoS) 攻击。确保将阈值设置为零或较大的数字，并将锁定持续时间设置为大约 15 分钟。此外，配置警报选项以在用户尝试登录失败时立即更新团队成员。

帐户锁定阈值、帐户锁定持续时间和重置帐户锁定计数器之后是 Active Directory 帐户锁定策略的主要元素。根据需要更改这些元素，并根据登录行为采取必要的操作。