在使用 Active Directory 時,常見的問題之一就是「帳號被鎖(Account Lockout)」。 本篇將帶你了解帳號被鎖的原因、快速解鎖方法,以及如何從根本避免再次發生, 適合 IT 新手與系統管理員實戰參考。
📚 目錄
❗ 什麼是 AD 帳號被鎖?
在 Active Directory 環境中,當使用者多次輸入錯誤密碼, 系統會依據安全性政策(Account Lockout Policy)將帳號鎖定, 以防止暴力破解攻擊。
🧠 常見原因分析
- 使用者輸入錯誤密碼
- 舊密碼被儲存在 Outlook / 手機
- 服務帳號(Service Account)密碼過期
- 排程(Task Scheduler)仍使用舊密碼
- 網路磁碟機使用舊憑證
🛠️ 快速解鎖方法
方法 1:使用 ADUC 解鎖
- 開啟「Active Directory Users and Computers」
- 找到該使用者帳號
- 右鍵 → Properties
- 勾選「Unlock account」
方法 2:使用 PowerShell 解鎖
Unlock-ADAccount -Identity username
🔍 如何找出帳號被鎖來源(關鍵)
解鎖只是暫時的,真正重要的是找出「是哪一台設備一直輸入錯誤密碼」。
方法:查看事件記錄(Event ID 4740)
- 登入 Domain Controller
- 開啟 Event Viewer
- 前往 Security Log
- 搜尋 Event ID:4740
在事件中可以看到:
- Caller Computer Name(來源電腦)
🛡️ 預防方法
- 更新所有裝置的登入密碼(手機、Outlook)
- 檢查排程與服務帳號
- 避免使用過舊的快取憑證
- 設定合理的 Lockout Policy
📌 延伸學習
👉 想系統學習 IT 技術?
👉 免費下載:「IT 新人 7 天快速入門指南」
👉 點我下載
發表文章
){kind=link}
0 留言