Hoe u het ontgrendelen van accounts voor Active Directory-gebruikers kunt automatiseren

Het accountvergrendelingssysteem is ingeschakeld Actieve map is een beveiligingsfunctie. Er zijn verschillende voorwaarden ingebouwd in het Active Directory-systeem waardoor een account automatisch wordt vergrendeld. De meeste hiervan hebben betrekking op wachtwoorden . Uw beveiligingsbeleid zal andere voorwaarden toevoegen die uitsluitingen en orkestratie veroorzaken inbraakdetectiesystemen (IDS's) kunnen ook accounts vergrendelen.

Gelukkig is de Beheerder account wordt nooit vergrendeld. Als dit wel het geval zou zijn, zou u de controle over uw AD-domeincontroller volledig verliezen. U beschikt dus altijd over het beheerderssysteem om de gebruikers terug te krijgen naar hun accounts.

U kunt een account afzonderlijk of handmatig ontgrendelen. Het is ook mogelijk om dat ontgrendelingsproces te automatiseren via een PowerShell script of via een beheertool die extern is aan de Active Directory-omgeving.

Ontgrendel handmatig een gebruikersaccount in Active Directory

Hoewel deze handleiding helemaal gaat over geautomatiseerde oplossingen voor het ontgrendelen van gebruikersaccounts in AD, zullen we eerst naar het handmatige proces kijken – alleen maar om u te laten zien dat dit mogelijk is. Volg deze stappen:

1. Log in op AD en ga naar Gebruikers en computers .
2. Zoek het account dat u wilt ontgrendelen en klik met de rechtermuisknop terwijl de muisaanwijzer op dat record staat.
3. Selecteer Eigenschappen vanuit het pop-upmenu.
4. Selecteer in het scherm Eigenschappen de Rekening tabblad.
5. Ongeveer halverwege het venster ziet u een selectievakje met het label ' Account ontgrendelen. Dit account is momenteel geblokkeerd op deze Active Directory Controller ”. Klik erop om het vakje aan te vinken.
6. Klik op Toepassen en klik vervolgens op OK om het venster Eigenschappen te sluiten.

Ontgrendel een gebruikersaccount in Active Directory met PowerShell

De eerste geautomatiseerde oplossing voor het automatisch ontgrendelen van een account in AD is door naar het besturingssysteem te gaan en PowerShell te gebruiken. U kunt dit systeem gebruiken om één gebruikersaccount of alle vergrendelde accounts in een domein te ontgrendelen.

Ontgrendel één gebruikersaccount met PowerShell

Hier leest u wat u moet doen om één account in AD te ontgrendelen met PowerShell:

1. Type krachtshell in het veld Zoekopdracht starten. U krijgt de PowerShell-app te zien.
2. Klik op Als administrator uitvoeren .

Met de PowerShell-omgeving geopend, kunt u onderzoeken of een account is vergrendeld met de volgende code:

|_+_|

Vervangen(inclusief de punthaken) in dat voorbeeld met de daadwerkelijke gebruikersnaam. De uitvoer toont twee kolommen, de tweede is Buitengesloten . Als de waarde in deze kolom luidt WAAR , het account is geblokkeerd.

Om dat ene account te ontgrendelen, gebruikt u:

|_+_|

Nogmaals, vervangenmet de daadwerkelijke gebruikersnaam.

Ontgrendel alle vergrendelde gebruikersaccounts in een domein met PowerShell

Open de PowerShell-interface zoals beschreven in de vorige sectie om vergrendelde accounts te onderzoeken en deze ook in bulk te ontgrendelen.

Om te zien welke accounts in een domein vergrendeld zijn, gebruikt u:

|_+_|

Gebruik de volgende code om alle accounts in het domein te ontgrendelen:

|_+_|

Het kan zijn dat er iets is gebeurd waardoor verschillende verdachte accounts zijn vergrendeld. Na onderzoek heeft u besloten dat sommige onbetrouwbaar waren, maar dat andere ten onrechte als gevaarlijk waren geïdentificeerd en ontgrendeld moesten worden. In dit geval zou het ontgrendelen van alle vergrendelde accounts de dreiging weer binnenlaten. U kunt dus gewoon door de legitieme gebruikersaccounts gaan en ze een voor een ontgrendelen, of u kunt de volgende opdracht gebruiken:

|_+_|

Wanneer deze opdracht wordt uitgevoerd, wordt u gevraagd de ontgrendeling van elke vergrendelde account te bevestigen. Als u wilt, kunt u beslissen om er een of twee in de lijst vergrendeld te laten. Als u voorkomt dat de opdracht één account ontgrendelt, wordt de verwerking niet beëindigd, maar wordt u een keuze geboden over het ontgrendelen van de volgende geblokkeerde account.

De opties die de opdracht u geeft over het al dan niet ontgrendelen van elk vergrendeld account zijn:

• Ja
• Ja op alles
• Nee
• Nee tegen allemaal
• Opschorten

U kunt dus op elk moment kiezen of u de baan wilt verlaten. Als u dat doet, wordt de opdracht niet teruggedraaid, wat betekent dat de accounts die u tot dan toe hebt ontgrendeld, beschikbaar blijven voor de gebruikers.

Geautomatiseerde Active Directory-beheertools

De Actieve map interface is een beetje onhandig. Hoewel de meeste gewone gebruikers wennen aan de eigenaardigheden van de front-ends, zijn er veel AD-beheertools beschikbaar die het beheer van het systeem een ​​stuk eenvoudiger maken en hebben ze veel betere consoles.

Het kan veel tijd kosten om de markt te onderzoeken en er enkele te identificeren goede kandidatensystemen Daarom hebben we een shortlist samengesteld van de beste systemen die momenteel beschikbaar zijn.

Hier is onze lijst met de vijf beste geautomatiseerde tools voor het ontgrendelen van gebruikersaccounts voor Active Directory:

1. Dameware-ondersteuning op afstand (GRATIS PROEF)Een ondersteuningsteampakket met een hulpprogramma voor het ontgrendelen van accounts. Ontvang een volledig functionele gratis proefperiode van 14 dagen.
2. ManageEngine ADSelfService Plus Een pakket dat is gecentreerd rond een portal waarmee gebruikers hun accounts kunnen resetten en er is ook een geautomatiseerde ontgrendelingstool voor technici. Het draait op Windows Server.
3. Netwrix Account Lockout-onderzoeker Een gratis pakket dat vergrendelde accounts identificeert, de reden voor de vergrendeling uitlegt en het ontgrendelen van elk account mogelijk maakt. Het draait op Windows en Windows Server.
4. AD Pro-toolkit Een ontgrendelingsservice die deel uitmaakt van een bundel systeembeheertools en die details over elk slot biedt. Het draait op Windows en Windows Server.
5. WiseDATAman-wachtwoordcontrole Een klein gratis hulpprogramma dat krachtige diensten voor gebruikersaccountbeheer biedt. Het is beschikbaar voor Windows en Windows Server.

Houd er rekening mee dat het geen goed idee is om het ontgrendelen van gebruikersaccounts te automatiseren Een aanleiding zodat elk account dat wordt vergrendeld, onmiddellijk wordt ontgrendeld. Het vergrendelingsmechanisme is een beveiligingsfunctie en als u over een verdedigingstool beschikt met geautomatiseerd herstel van bedreigingen, zal die service die accounts om een ​​reden hebben vergrendeld. Het is beter om laat accounts vergrendeld terwijl je de reden onderzoekt.

Waar moet u op letten in een geautomatiseerde tool voor het ontgrendelen van accounts voor Active Directory?

We hebben de markt voor tools voor het ontgrendelen van accounts beoordeeld en de opties geanalyseerd op basis van de volgende criteria:

• Een keuze uit snel ontgrendelbare hulpprogramma's en volledige AD-beheersystemen.
• Een gebruiksvriendelijke, aantrekkelijke interface.
• Een tool die de keuze geeft om individuele accounts te ontgrendelen, veel of allemaal.
• Een systeem dat andere Active Directory-beheertaken geautomatiseerd kan uitvoeren.
• Een systeem dat eenvoudig te installeren is.
• Een gratis tool of dienst die een gratis proefperiode of demo aanbiedt.
• Een tool die u tijd en geld bespaart en waarde oplevert.

Met behulp van deze reeks criteria hebben we gezocht naar een reeks AD-beheerpakketten met speciale ontgrendelingshulpprogramma's.

1. Dameware Ondersteuning op afstand (GRATIS PROEF)

Dameware-ondersteuning op afstand is een uitgebreid pakket tools voor ondersteuningsteams van de IT-afdeling en leveranciers van beheerde services. Het systeem omvat mogelijkheden voor toegang op afstand, bediening op afstand, eindpuntbeheer en systeembewaking. Het heeft ook een hulpprogramma voor het ontgrendelen van accounts voor Active Directory.

Belangrijkste kenmerken:

• Eindpuntbeheer
• Systeembewaking
• Active Directory-beheer

De Active Directory-beheerfuncties in het systeem omvatten: wachtwoord reset systeem, evenals de account ontgrendelen nutsvoorziening. Dit hele pakket bestaat uit een verzameling beheerderstools die kunnen worden gebruikt door een ondersteuningsteam op afstand.

Pluspunten:

• Toegang via een mobiele app en desktops.
• Software op locatie.
• Verzamelt veel hulpprogramma's op één scherm.

Nadelen:

• Niet beschikbaar als cloudplatform

Dameware wordt geïnstalleerd ramen En Windows-server en u kunt er meer over lezen in onze Mogelijkheidsoverzicht . Het systeem is beschikbaar voor een gratis proefperiode van 14 dagen.

Dameware Ondersteuning op afstand Download GRATIS proefperiode van 14 dagen

twee. ManageEngine ADSelfService Plus

Met ManageEngine ADSelfService Plus krijgen technici een tool om accounts te ontgrendelen en krijgen de gebruikers een andere methode. Het zelfserviceportaal dat bij dit pakket wordt geleverd, is ontworpen om uitsluitingen als gevolg van te verminderen wachtwoord sterkte door een begeleid systeem voor het maken van wachtwoorden op te nemen.

Belangrijkste kenmerken:

• Preventie van wachtwoordfouten
• Gebruikersbedieningen
• Technicus gereedschap
• Ontgrendelen op aanvraag
• Aanvrager van wachtwoordherstel

Via het selfserviceportaal kunnen gebruikers dat doen hun wachtwoorden opnieuw instellen en omvat een wachtwoord ontgrendelen dienst aanvragen. Het ontgrendelen van accounts gebeurt automatisch, zonder tussenkomst van een technicus. Dit betekent dat de overige vergrendelingen de vergrendelingen zijn die door het systeem zijn opgelegd vanwege indringersdreigingen.

De op de beheerder gebaseerde ontgrendelingsfunctie is misschien een beetje riskant omdat het mogelijk is om het systeem hierop in te stellen automatisch ontgrendelen vergrendelde rekeningen. Dit zou de inspanningen van IPS'en om indringers te blokkeren kunnen ondermijnen.

Pluspunten:

• Ontgrendel accounts afzonderlijk of in bulk.
• Geautomatiseerde of on-demand ontgrendeling.
• Selfserviceportaal voor gebruikers.
• Begeleiding bij het maken van wachtwoorden.
• Vermindert het aantal oproepen naar de helpdesk.

Nadelen:

• Geen cloudversie.

Dit systeem is een softwarepakket dat draait op Windows-server . Er is een gratis versie van ManageEngine ADSelfService Plus. Dat is beperkt tot het beheren van 50 gebruikers. Je kan krijgen een gratis proefperiode van 30 dagen van een van de twee betaalde edities.

3. Netwrix Account Lockout-onderzoeker

Netwrix Account Lockout-onderzoeker biedt een zoekfunctie om alle vergrendelde accounts te identificeren via de grafische gebruikersinterface. De details van elke gebruikersrecord in de uitsluitingslijst tonen de reden voor de vergrendeling en ook de bron waartoe de gebruiker heeft geprobeerd toegang te krijgen. De tool heeft dat ook een zoekfunctie , waarmee helpdeskmedewerkers een gebruikersnaam kunnen invoeren en de vergrendelingsstatus van dat account kunnen zien.

Belangrijkste kenmerken:

• Gratis hulpmiddel
• Identificeert alle ontgrendelde accounts
• Account zoeken
• Reden van uitsluiting

Met dit systeem kunnen technici ook accounts ontgrendelen. Er is geen automatische bulkontgrendelingsfunctie. Die faciliteit kan echter gevaarlijk zijn, dus Netwrix weet wat ze deden toen ze die optie buiten beschouwing lieten.

Pluspunten:

• Sweep AD voor alle ontgrendelde accounts.
• Vraag de status van afzonderlijke accounts op.
• Identificeer de reden voor de uitsluiting.
• Ontgrendel het hulpprogramma.

Nadelen:

• Geen bulkontgrendelingsfunctie.

De software voor Netwrix Account Lockout Examiner wordt geïnstalleerd op Windows en Windows Server. U kunt het systeem op zoveel eindpunten installeren als u wilt, omdat dit zo is gratis te gebruiken .

4. AD Pro-toolkit

De AD Pro-toolkit bundel bevat 13 tools voor het beheer van Active Directory. Een daarvan is de Active Directory User Unlock Tool. dit is een handig en eenvoudig pakket waarmee ondersteunend personeel een account kan ontgrendelen zonder dat daar volledige toegang toe nodig is Actieve map .

Belangrijkste kenmerken:

• Eenvoudig scherm voor eenmalig gebruik
• Toont alle rekeningen
• Zoek naar individuele accounts

Het hulpmiddel ondersteunt twee scenario's : een lijst met alle vergrendelde accounts en zoeken op gebruikersnaam. Het scherm met accountgegevens laat zien waarom het account is vergrendeld en biedt een knop voor snel ontgrendelen. Dit is een nuttige functie omdat het voldoende informatie oplevert om de technicus in staat te stellen te beslissen of er sprake is van een slot geldig .

Pluspunten:

• Adviseert over vergrendelingsredenen.
• Biedt bulk- en individuele zoekfuncties voor sloten.
• Ongecompliceerde lay-out.

Nadelen:

• Betaald, maar vrijwel identiek aan de gratis Netwrix Account Lockout Examiner.

De prijs voor de AD Pro Toolkit begint bij $199 voor slechts negen van de 13 tools en $299 voor de volledige bundel. De software draait door ramen En Windows-server .

5. WiseDATAman-wachtwoordcontrole

WiseDATAman-wachtwoordcontrole is een klein hulpprogramma dat een zoekformulier voor records presenteert en vervolgens slechts één overeenkomend record weergeeft. Hoewel dit systeem geen bulkvergrendeld scherm met accountoverzichten heeft, biedt de compacte lay-out veel tools in één kleine ruimte, inclusief een optie om accounts ontgrendelen .

Belangrijkste kenmerken:

• Kleine interface
• Weergave voor één gebruiker
• Ontgrendelt accounts

Deze tool is een vervanging voor de Eigenschappen venster voor een account in de Actieve map systeem. Het is echter erg handig omdat het een helpdesktechnicus beperkte en gecontroleerde toegang tot het AD-systeem geeft.

Pluspunten:

• Biedt beperkte AD-toegang voor helpdeskpersoneel.
• Eén selectievakje om een ​​account te ontgrendelen.
• Neemt niet veel ruimte in beslag op het bureaublad.

Nadelen:

• Geen lijstscherm om alle ontgrendelde accounts weer te geven.

Hoewel dit geen geautomatiseerde tool is, bespaart het de gebruiker het typen van PowerShell-opdrachten en dat is het ook gratis te gebruiken . De software draait door ramen En Windows-server .