解锁 Active Directory 用户帐户

域中的用户帐户锁定是用户联系技术支持团队的最常见原因之一。在大多数情况下，锁定是由于用户忘记密码或应用程序在用户更改密码后尝试使用以前的（已保存的）密码进行身份验证而导致的。

Active Directory 中的帐户锁定策略

Active Directory 域的默认安全策略中启用了用户帐户锁定。

通常，用户锁定设置在

Default Domain Policy

GPO（配置 -> Windows 设置 -> 安全 设置 -> 帐户 策略 -> 帐户 锁定 政策）。有以下三种选择：

• 帐户 锁定 阈值 - 尝试输入密码失败的次数，超过该次数后用户将被锁定；

• 帐户锁定持续时间 - 用户保持锁定状态的时间（以分钟为单位）。然后用户会自动解锁；

• 重置帐户锁定计数器时间 - 失败登录计数器重置后的分钟数。

这些锁定设置适用于所有域用户，但已使用细粒度密码策略分配特殊设置的组除外。

详细了解 AD 中的密码策略。

Microsoft 安全基线建议用户应在以下时间后被锁定：

10

登录尝试失败。这被认为是防止密码暴力和 DoS 攻击的最佳选择，并且对于在输入密码时经常出错的用户来说很方便。

Entra ID（例如 Azure AD）中的默认密码策略会在 10 次尝试登录失败后锁定用户帐户。

如何使用 Active Directory 控制台 (ADUC) 解锁用户帐户

如果用户帐户被锁定，您在尝试登录 Windows 时将看到以下消息：

The referenced account is currently locked out and may not be logged on to.

如果域用户经常抱怨其帐户被锁定，您可以通过在主域中查找事件 ID 4740 和 4625 来查找不断导致锁定的计算机和进程。域控制器安全日志（请参阅如何在 Active Directory 中查找帐户锁定源）。

在锁定期到期或管理员手动解锁帐户之前，用户将无法登录 Windows。

您可以使用 Active Directory 用户和计算机 (ADUC) 图形控制台解锁用户：

1. 打开

   dsa.msc

   控制台并找到您要解锁的AD用户；

2. 单击帐户选项卡。如果用户被锁定，此处应该有一条消息

   Unlock account. This account is currently locked out on this Active Directory Domain Controller

   ;

3. 勾选此选项并点击确定保存更改；

4. 用户帐户已解锁，可用于登录域。

   

默认情况下，只有域管理员才能解锁 AD 中的用户。您可以将解锁权限委派给非管理员用户，以便他们可以解锁帐户。

1. 单击包含您要委派权限的用户的组织单位 (OU)，然后选择委派控制；

   

2. 选择您想要授予权限的一组用户（例如，nyHelpDesk）；

3. 然后选择创建自定义任务 -> 仅文件夹中的以下对象 -> 用户对象；

4. 在权限列表中，勾选写入锁定时间框；

   

5. 现在，nyHelpDesk 组的成员可以解锁用户。

您可以启用审核策略，以找出谁解锁了用户帐户：

1. 启用审核用户帐户管理策略

   Default Domain Controller

   GPO（计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略 -> 帐户管理）；

2. 然后，您可以通过在域控制器上的安全日志中查找 EventID 4767 来跟踪用户解锁事件（

   A user account was unlocked

   ）；

   

3. 您还可以使用 PowerShell 按事件 ID 查找事件：

   Get-WinEvent -FilterHashtable @{logname='Security';id=4767}|ft TimeCreated,Id,Message

增加域控制器上的事件查看器日志大小以存储更多事件。

使用 PowerShell 解锁 AD 帐户

您可以使用

Unlock-ADAccount

用于解锁 AD 用户的 PowerShell cmdlet。此 cmdlet 包含在 Windows PowerShell 的 AD 模块中。

检查用户是否被锁定（

Lockedout = true

）：

Get-ADUser -Identity j.brion -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

使用以下命令解锁 AD 用户：

Unlock-ADAccount j.brion

您可以使用 PowerShell 查看锁定时间、上次登录日期以及更改用户密码的日期：

Get-ADUser j.brion -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,pwdLastSet | Select-Object Name, Lockedout,@{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}

您可以使用 Search-ADAccount cmdlet 查找域中所有锁定的用户：

Search-ADAccount -UsersOnly -lockedout

通过简单的 PowerShell 语句，您可以一次性解锁所有域用户：

Search-ADAccount -UsersOnly -lockedout| Unlock-ADAccount