Po niedawnym incydencie z programem Outlook zastanawiałem się, jak najskuteczniej rozwiązać następujący problem:
Załóżmy dość typową małą i średnią infrastrukturę AD: kilka DC, kilka wewnętrznych serwerów i klientów Windows, kilka usług wykorzystujących AD i LDAP do uwierzytelnienia użytkownika z DMZ (przekaźnik SMTP, VPN, Citrix itp.) I kilka wewnętrznych wszystkie usługi polegające na uwierzytelnianiu AD (Exchange, SQL Server, serwery plików i drukowania, serwery usług terminalowych). Masz pełny dostęp do wszystkich systemów, ale jest ich trochę za dużo (licząc klientów), by sprawdzać indywidualnie.
Załóżmy teraz, że z nieznanego powodu jedno (lub więcej) konto użytkownika jest blokowane z powodu zasad blokowania hasła co kilka minut.
- Jaki byłby najlepszy sposób na znalezienie odpowiedzialnego za to serwisu / maszyny?
- Zakładając, że infrastruktura jest czysta, standardowy system Windows bez dodatkowego narzędzia do zarządzania i kilka zmian od domyślnych jest jakiś sposób, aby proces znalezienia przyczyny takiej blokady mógł zostać przyspieszony lub ulepszony?
- Co można zrobić, aby poprawić odporność systemu na taki DOS z blokadą konta? Wyłączenie blokady konta jest oczywistą odpowiedzią, ale potem napotykasz na problem użytkowników mających dostęp do łatwych do wykorzystania haseł, nawet przy wymuszonej złożoności.