Una cuenta de usuario en Active Directory se bloquea si la contraseña se escribió incorrectamente varias veces seguidas y supera el número máximo permitido por la política de contraseñas de la cuenta. En este artículo, le mostraremos cómo encontrar y desbloquear la cuenta de AD de un usuario o todos los usuarios de dominio de AD bloqueados a la vez.

Política de bloqueo de cuenta

El valor de umbral para la cantidad de intentos de ingresar la contraseña incorrecta y el tiempo de verificación de la cuenta se define en la Política de dominio predeterminada en la sección GPO Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Política de cuenta > Política de bloqueo de cuenta.

En nuestro dominio de Active Directory, esta política se configura de la siguiente manera:

cuenta de desbloqueo del directorio activo

  • Umbral de bloqueo de cuenta: 30 minutos;
  • Duración del bloqueo de la cuenta: 10 intentos de inicio de sesión no válidos;
  • Reinicie el contador de bloqueo de cuenta después de 10 minutos.

En nuestro caso, después de 10 intentos de ingresar la contraseña incorrecta, la cuenta de usuario se bloquea durante 30 minutos. En este momento, el usuario no puede iniciar sesión en el dominio con una cuenta con el error "1909: la cuenta a la que se hace referencia actualmente está bloqueada y no se puede iniciar sesión".

Puede averiguar los eventos de bloqueo de la cuenta de usuario en el registro de seguridad en un controlador de dominio con la función de emulador de PDC de FSMO. Para hacer esto, debe habilitar la auditoría de eventos de bloqueo de cuenta en la Política de controlador de dominio predeterminado de GPO.

Abra la Consola de administración de políticas de grupo (gpmc.msc), seleccione la Política de controlador de dominio predeterminada y habilite la política de bloqueo de cuentas de auditoría (éxito y error) en la sección GPO Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Política de auditoría avanzada > Iniciar sesión/Cerrar sesión.

desbloquear cuenta directorio activo

Después de actualizar la configuración de GPO en los controladores de dominio, cuando una cuenta está bloqueada, el evento 4740 aparece en el registro de seguridad en el Visor de eventos:

Nombre de registro: Seguridad

Identificador de evento: 4740

Fuente: auditoría de seguridad de Microsoft Windows.

Categoría de tareas: Gestión de cuentas de usuario

Una cuenta de usuario fue bloqueada

El evento contiene el nombre de la cuenta de usuario bloqueada y la computadora desde la cual ocurrió el evento de bloqueo. El nombre del equipo se especifica en el Nombre de la computadora de la persona que llama campo.

cuenta de desbloqueo de anuncios

Puede mostrar rápidamente los eventos de bloqueo más recientes para los usuarios de su dominio con los nombres de las computadoras usando una simple frase de PowerShell:

Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740} | %{([xml]$_.ToXml()).Event.EventData.Data}

desbloquear cuenta publicitaria

¿Cómo desbloquear cuentas de usuario de AD a través de ADUC o PowerShell?

El administrador del dominio puede desbloquear prematuramente la cuenta del usuario para que no tenga que esperar 30 minutos. Puede desbloquear una cuenta de usuario mediante la consola Usuarios y equipos de Active Directory (ADUC).

Para desbloquear la cuenta de un usuario, busque el objeto de usuario en el complemento ADUC, abra sus propiedades, vaya a la Cuenta pestaña, marque la opción “Desbloquear cuenta. Esta cuenta actualmente está bloqueada en este controlador de dominio de Active Directory” y presione OK.

desbloquear cuenta.  esta cuenta está actualmente bloqueada en este controlador de dominio de directorio activo

Sin embargo, puede desbloquear una cuenta de usuario en Active Directory mucho más rápido con PowerShell CLI.
Para hacer esto, deberá instalar el módulo Active Directory para Windows PowerShell.

En Windows Server, puede instalarlo con el comando:

Add-WindowsFeature RSAT-AD-Powershell

Importe el módulo RSAT-AD-Powershell a su sesión:

Import-module Active Directory

Compruebe si la cuenta de usuario está bloqueada. Para hacer esto, ejecute la siguiente línea de PowerShell:

Get-ADUser -Identity bjackson -Properties LockedOut | Select-Object samaccountName,Lockedout| ft -AutoSize

La cuenta está bloqueada (Lockedout=True).

esta cuenta está actualmente bloqueada en este controlador de dominio

El tiempo de bloqueo del usuario se puede ver en el valor del atributo de usuario lockoutTime:

Get-ADUser D.McAllister -Properties Name,lockoutTime |

Select-Object Name,@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}

esta cuenta está actualmente bloqueada en este controlador de dominio de directorio activo

Para desbloquear una cuenta de usuario, puede usar el cmdlet:

Unlock-ADAccount bjackson –Confirm

Presione Y para confirmar el desbloqueo de la cuenta, luego Enter.

También puede utilizar la siguiente sintaxis:

Get-ADUser -Identity bjackson | Unlock-ADAccount

como desbloquear una cuenta en el directorio activo

Compruebe si esta cuenta ahora está desbloqueada (Lockedout=True):

Get-ADUser -Identity bjackson -Properties LockedOut | Select-Object samaccountName,Lockedout

como desbloquear cuenta de publicidad

Ahora el usuario puede iniciar sesión en la computadora o servidor del dominio con su cuenta.

Puede encontrar rápidamente todas las cuentas de usuario bloqueadas en el dominio. Utilice este comando de PowerShell:

Search-ADAccount -lockedout | Select-Object SamAccountName, LastLogonDate, Lockedout

como desbloquear una cuenta en el directorio activo

Para desbloquear todos los usuarios encontrados, use el comando:

Search-ADAccount -Lockedout | Unlock-AdAccount -Confirm

¿Cómo delegar permisos para desbloquear cuentas en Active Directory?

Puede delegar permisos a usuarios que no sean administradores para desbloquear cuentas de AD. Para hacer esto:

  1. Crear un nuevo permitir desbloquear cuenta grupo de seguridad en el dominio;
  2. Abra la consola ADUC y haga clic derecho en la unidad organizativa de los usuarios;
  3. Seleccione el elemento Control delegado;
    anuncio de desbloqueo de cuenta
  4. Haga clic en Agregar y seleccione el grupo allowUnlockAccount. Haga clic en Siguiente;
  5. Seleccione Crear una tarea personalizada para delegar > Solo los siguientes objetos en la carpeta > Objetos de usuario;
    desbloquear cuenta en directorio activo
  6. Seleccione Específico de la propiedad y marque dos permisos en la lista: Leer lockoutTime y Escribir lockoutTime;
    como desbloquear cuenta de usuario en directorio activo
  7. Guarde sus cambios.

Los usuarios del grupo allowUnlockAccount ahora pueden desbloquear cuentas de la unidad organizativa seleccionada mediante la consola ADUC o el cmdlet de PowerShell Unlock-ADAccount.

Para obtener información sobre quién desbloqueó a un usuario, debe habilitar el Gestión de cuentas de usuario de auditoría política para controladores de dominio (Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Políticas de auditoría > Administración de cuentas).

Después de actualizar el GPO, puede filtrar el registro de seguridad por el ID de evento 4767 (se desbloqueó una cuenta de usuario) para identificar al usuario que desbloqueó la cuenta de AD.

Recomendado para ti