Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour bénéficier des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Bonjour à tous,
Depuis quelques mois maintenant, un utilisateur se retrouve très souvent avec son compte bloqué (Active Directory).
Cela arrive de manière aléatoire, sans que l'utilisateur ne se trompe de mot de passe ou autre.
J'ai déjà :
-Changer son mot de passe
-Déconnecté son compte de toutes les applications à l'aide du tenant Office 365.
-Vérifié et réinitialisé la carte réseau pour effacer toutes traces d'anciens credentials.
-Pas de bruteforce ou autre trace d'attaque (vérifié avec notre EDR)
-Vérifier les fichiers système avec sfc /scannow
J'ai beau faire des recherches avec les informations du journal d’événement, je ne trouve pas de solution concrète.
Voici ce qu'on peut y trouver dans l’événement (extrait de notre DC) :
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: SDC.......
Account Domain: C.......
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: V......
Account Domain: C......
Failure Information:
Failure Reason: Account locked out.
Status: 0xC0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x348
Caller Process Name: C:\Windows\System32\svchost.exe
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: CHAP
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Merci d'avance pour celle ou celui qui pourra m'apporte son aide.
Question verrouillée. Cette question a été migrée à partir de la communauté de support Microsoft. Vous pouvez voter pour savoir si c’est utile, mais vous ne pouvez pas ajouter de commentaires ou de réponses ou suivre la question. Pour protéger la vie privée, les profils d’utilisateur(-trice) des questions migrées sont anonymisés.
Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.
Bonjour
Bonne journée!
Si ce compte est déverrouillé, sera-t-il verrouillé fréquemment ?
Veuillez vérifier si cet utilisateur n’essaie pas trop de tentatives pour changer le mot de passe.
Vérifiez que cet utilisateur n’essaie pas d’effectuer un trop grand nombre de tentatives de connexion non valides.
Sinceres salutations
Daisy Zhou
Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.
Bonjour Rémy CMR,
Merci d’avoir posté sur le forum de la communauté Microsoft.
Vous pouvez essayer de résoudre le problème comme ci-dessous :
1.Vérifiez si vous pouvez voir plusieurs ID d’événement 4771 ou 4776 via le journal de sécurité sur DC/PDC.
2.Vérifiez si vous pouvez voir l’ID 4740 immédiatement après l’ID d’événement 4776 ou l’ID d’événement 4771 dans le journal de sécurité sur le DC/PDC.
3.Pour ce compte d’utilisateur de domaine, si vous pouvez voir l’ID d’événement 4771 ou 4776 et l’ID d’événement 4740 associés à ce compte de domaine, pouvez-vous voir quelle machine verrouille le compte d’utilisateur (vérifiez l’adresse IP ou le nom de l’ordinateur de l’appelant via l’événement 4740 ou 4776 ou 4771) ? Si c’est le cas, connectez-vous à la machine qui a verrouillé ce compte pour essayer d’en vérifier la raison.
• Vérifiez la gestion des informations d’identification pour voir si les anciennes informations d’identification de l’utilisateur sont mises en cache (Panneau de configuration)
• Vérifiez si le disque réseau n’est pas monté avec le mauvais mot de passe
• Vérifiez si l’utilisateur a démarré le service avec le mauvais mot de passe, s’il exécute des tâches planifiées, etc
• Existe-t-il d’autres programmes tiers qui mettent en cache les mots de passe incorrects des utilisateurs ?
J’espère que les informations ci-dessus vous seront utiles.
Si vous avez des questions ou des préoccupations, n’hésitez pas à nous le faire savoir.
Sinceres salutations
Daisy Zhou
Bonjour Daisy Zhou123,
Merci beaucoup pour votre réponse.
J'ai pu trouvé dans un autre journal d'évènement des erreurs liées au protocole LDAP et/ou Kerberos, que je soupçonne être la cause de tout cela :
Évènement 40970 :
Le système de sécurité a détecté une tentative de passage à une version antérieure lors du contact du SPN en 3 parties
LDAP/*****.******.priv/******.priv@******.PRIV
avec le code d’erreur "Le compte d’utilisateur a été automatiquement verrouillé car trop de tentatives d’ouverture de session non valides ou trop de tentatives de modification du mot de passe ont été demandées.
(0xc0000234)". Authentification refusée.
Ou bien :
Évènement 40960 :
Le système de sécurité a détecté une erreur d’authentification pour le serveur cifs/*******. Le code de la panne à partir du protocole d’authentification Kerberos était "Le compte d’utilisateur a été automatiquement verrouillé car trop de tentatives d’ouverture de session non valides ou trop de tentatives de modification du mot de passe ont été demandées.
(0xc0000234)".