Ад с учётными записями — почему в одной компании пользователей было в 3 раза больше, чем сотрудников

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Информация к новости

  • Просмотров: 51 250
  • Автор: admin
  • Дата: 2-07-2018

2-07-2018

Категория: —

Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Итак, не можем войти в Windows, потому что на экране блокировки видим это.

Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.     

Блокировка учётных записей Windows

Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.
Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.

Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.

При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.

Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.

А время блокировки самой учётной записи, наоборот, увеличить.

Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft. 
Разблокировать заблокированную учётную запись можно несколькими путями:

Как разблокировать свою учётную запись Windows, если есть доступ к администратору

Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:
lusrmgr.msc

В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.

В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.

Пробуем войти в свою учётку.
  • Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.

Как разблокировать свою учётную запись Windows, если нет доступа к администратору

Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.  
На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:
regedit

Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».

В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.

Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:
777 – SAM – Domains – Account – Users – Names
Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания —  с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».

Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».

Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия. Какие – читаем здесь.
Вернуться

Комментариев: 6
Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!

Автоматическая блокировка учетных записей уволившихся сотрудников

7 ноября 2010 г.

В больших организациях часто существует потребность отключения учетной записи уволенного сотрудника. Это может быть требование службы безопасности или связано с уменьшением нагрузки на оборудование (в нашем случае мы удаляем почтовый ящик и папку профиля на сервере). Подписывать обходной лист у системного администратора идея не самая хорошая, ведь, во-первых, у отдела кадров нет информации, кого именно направлять в ИТ, а во-вторых, офисов у компании может быть много, и требовать от сотрудника подписи от системного администратора, находящегося в другом городе, невозможно. Тем не менее, несмотря на все очевидные неудобства, как правило, используется такой подход.

  1. C# для интерфейса. Это моя первая GUI-программа, поэтому в исходниках тихий ужас. Хотя, мой знакомый человек с хабра говорит, что самый значимый критерий программы — работа без глюков (спасибо тебе за помощь, Глеб). Считаю, что я справился.
  2. SQL-сервер. Используется не на столько, чтобы была важна конкретная реализации.
  3. Powershell для скриптов. Изначально, интерфейс программы был написан на нем (продукты фирмы SAPIEN сильно в этом помогают). Так же я рекомендую поставить оснастки Quest Software для работы с AD, они бесплатные.

Таблица пользователей заполняется скриптом, который получает всех пользователей домена и заносит в базу данных информацию о почтовом адресе, логину и прочих атрибутах учетной записи, но не трогает поле, в котором содержится информация о кадровом сотруднике (написание такого скрипта проще, чем кажется на первый взгляд). Для служебных учетных записей я в это поле ставлю -1, для заблокированных пользователей есть поле status
, в котором пишем слово disabled
.

Таблицу сотрудников заполняет программист, который сопровождает кадровую программу (я специально не пишу какую, так как она может быть любой) и отвечает за ее актуальность (проверять, не перестала ли эта таблица обновляться, можно триггером for update
, но сейчас речь не об этом). Таким образом, sql-запрос, которых покажет всех уволенных, но не заблокированных пользователей, может выглядеть приблизительно так:SELECT samaccountname FROM dbo.ad_users
WHERE (id NOT IN (SELECT id FROM dbo.kadr_users))
AND (id -1)
AND (id IS NOT NULL)
and status 'disabled'

Так а что с автоматическим увольнением? Скриптом выполняем приведенный выше запрос, идем по результату и делаем все необходимые действия, включая блокировку. Я написал его на powershell. Как бонус можно обновлять отдел и должность пользователей, ведь эта информация может быть полезна и хорошо иметь ее актуальной, а не по состоянию пять лет назад.

рубрика Windows, Программирование
Ссылка на основную публикацию