В последние дни наблюдаю возросшую блокировку учетных записей в результате применения политики учетных записей в AD. Но с одним пользователем имею проблему. Учетная запись блокируется несколько раз за день. Провели антивирусную
проверку, очистили кэш паролей, удалили все лишние программы. Но найти причину блокировки так и не смог. Использование утилиты Netwrix Account Lockout Examiner также не дало ответ на причины блокировки.
До достижения предела числа сбойных попыток входа в журнале событий периодически регистрируется событие:
Источник: Microsoft Windows security auditing.
Категория: Проверка учетных данных
ID: 4776
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC000006A
C000006A — ввод неверного пароля.
Далее учетная запись блокируется. Регистрируется сообщение в журнале событий:
Источник: Microsoft Windows security auditing.
Категория: Управление учетными записями
ID: 4740
Заблокирована учетная запись пользователя.
Субъект:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: SRV-AD1$
Домен учетной записи: SFH
Идентификатор входа: 0x3E7
Заблокированная учетная запись:
Идентификатор безопасности: SFHBaranova
Имя учетной записи: Baranova
Дополнительные сведения:
Имя вызывающего компьютера: PC-BARANOVA3
В дальнейшем до разблокировки учетной записи периодически регистрируется ошибка:
Источник: Microsoft Windows security auditing.
Категория: Проверка учетных данных
ID: 4776
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: baranova
Исходная рабочая станция: PC-BARANOVA3
Код ошибки: 0xC0000234
На рабочей станции (Windows 7 Pro SP1) в журнале регистрируется ошибка:
Источник: Microsoft Windows security auditing.
Категория: Вход в систему
ID: 4625
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: PC-BARANOVA3$
Домен учетной записи: SFH
Код входа: 0x3e7
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Baranova
Домен учетной записи: SFH
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x298
Имя процесса вызывающей стороны: C:WindowsSystem32winlogon.exe
Сведения о сети:
Имя рабочей станции: PC-BARANOVA3
Сетевой адрес источника: 127.0.0.1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0
Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В полях «Сведения о процессе» указано, какая учетная запись и процесс в системе выполнили запрос на вход.
Поля «Сведения о сети» указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Обычно в статьях, посвященных поиску причин блокировки, указывается, что с помощью этого сообщения можно найти процесс или программу, приведшую к блокировке. Но в данном случае я вижу, что это — процесс winlogon.
Может быть кто-нибудь кто-нибудь подскажет, как найти источник проблемы.
Все началось с того что пара пользователей стали регулярно блокироваться. Стандартный поиск по «Просмотр событий» показал вот такую картину:
Компьютер попытался проверить учетные данные учетной записи. Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Учетная запись входа: TESTER Исходная рабочая станция: Код ошибки: 0xc000006a
Хочется отметить, что «Исходная рабочая станция» — пусто, никаких данных нет.
Так же в логах присутствовали коды ошибок 0xc000006a и 0xc0000234
Интернет подсказал что они означают:
0xc000006a – An invalid attempt to login has been made by the following user. 0xc0000234 – The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested.
Гугление и чтение умных и полезных статеек (например вот: https://habrahabr.ru/company/netwrix/blog/148501/) привели к необходимости включить расширенный лог — на контроллерах домена включил
nltest /dbflag:0x2080ffff
не забыть потом выключить командой
nltest /dbflag:0x0
и начал анализировать результат в файле C:Windowsdebugnetlogon.log руками или чем-то вроде
type C:Windowsdebugnetlogon.log | findstr MYLOGIN
И источник проблемы был найден — из дружественного домена приходило огромное количество запросов на авторизацию, нечто вроде:
10/13 21:32:39 [LOGON] MY-DOMAIN: SamLogon: Transitive Network logon of MY-DOMAINTESTER from (via DC03) Entered 10/13 21:32:39 [LOGON] MY-DOMAIN: SamLogon: Transitive Network logon of MY-DOMAINTESTER from (via DC03) Returns 0xC000006A
Понятно, работает какая-то зараза. Ну что же — мяч не на нашей стороне и это уже хорошо. Через некоторое время коллеги ответили — действительно, долбились через их RDP-сервера. Прикрутили скриптик, блокирующий перебирателей и наступила тишина. Кстати, на свежеподнятом linux-сервере я всегда первым делом ставлю fail2ban, это уже рефлекс.
Решений существует куча, например:
Как вариант защиты пользователей — можно разрешить вход только с определенных компьютеров чтобы обезопасить учетные записи (Учетная запись пользователя → Свойства → Учетная запись → Вход на… → Только на указанные компьютеры).
| Code | Reason |
| 0 | No error |
| 1 | User-initiated client disconnect. |
| 2 | User-initiated client logoff. |
| 3 | Your Remote Desktop Services session has ended, possibly for one of the following reasons: The administrator has ended the session. An error occurred while the connection was being established. A network problem occurred. For help solving the problem, see «Remote Desktop» in Help and Support. |
| 260 | Remote Desktop can’t find the computer «». This might mean that «» does not belong to the specified network. Verify the computer name and domain that you are trying to connect to. |
| 262 | This computer can’t connect to the remote computer. Your computer does not have enough virtual memory available. Close your other programs, and then try connecting again. If the problem continues, contact your network administrator or technical support. |
| 264 | This computer can’t connect to the remote computer. The two computers couldn’t connect in the amount of time allotted. Try connecting again. If the problem continues, contact your network administrator or technical support. |
| 266 | The smart card service is not running. Please start the smart card service and try again. |
| 516 | Remote Desktop can’t connect to the remote computer for one of these reasons: 1) Remote access to the server is not enabled 2) The remote computer is turned off 3) The remote computer is not available on the network Make sure the remote computer is turned on and connected to the network, and that remote access is enabled. |
| 522 | A smart card reader was not detected. Please attach a smart card reader and try again. |
| 772 | This computer can’t connect to the remote computer. The connection was lost due to a network error. Try connecting again. If the problem continues, contact your network administrator or technical support. |
| 778 | There is no card inserted in the smart card reader. Please insert your smart card and try again. |
| 1030 | Because of a security error, the client could not connect to the remote computer. Verify that you are logged on to the network, and then try connecting again. |
| 1032 | The specified computer name contains invalid characters. Please verify the name and try again. |
| 1034 | An error has occurred in the smart card subsystem. Please contact your helpdesk about this error. |
| 1796 | This computer can’t connect to the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. |
| 1800 | Your computer could not connect to another console session on the remote computer because you already have a console session in progress. |
| 2056 | The remote computer disconnected the session because of an error in the licensing protocol. Please try connecting to the remote computer again or contact your server administrator. |
| 2308 | Your Remote Desktop Services session has ended. The connection to the remote computer was lost, possibly due to network connectivity problems. Try connecting to the remote computer again. If the problem continues, contact your network administrator or technical support. |
| 2311 | The connection has been terminated because an unexpected server authentication certificate was received from the remote computer. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. |
| 2312 | A licensing error occurred while the client was attempting to connect (Licensing timed out). Please try connecting to the remote computer again. |
| 2567 | The specified username does not exist. Verify the username and try logging in again. If the problem continues, contact your system administrator or technical support. |
| 2820 | This computer can’t connect to the remote computer. An error occurred that prevented the connection. Try connecting again. If the problem continues, contact the owner of the remote computer or your network administrator. |
| 2822 | Because of an error in data encryption, this session will end. Please try connecting to the remote computer again. |
| 2823 | The user account is currently disabled and cannot be used. For assistance, contact your system administrator or technical support. |
| 2825 | The remote computer requires Network Level Authentication, which your computer does not support. For assistance, contact your system administrator or technical support. |
| 3079 | A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support. |
| 3080 | The remote session was disconnected because of a decompression failure at the client side. Please try connecting to the remote computer again. |
| 3335 | As a security precaution, the user account has been locked because there were too many logon attempts or password change attempts. Wait a while before trying again, or contact your system administrator or technical support. |
| 3337 | The security policy of your computer requires you to type a password on the Windows Security dialog box. However, the remote computer you want to connect to cannot recognize credentials supplied using the Windows Security dialog box. For assistance, contact your system administrator or technical support. |
| 3590 | The client can’t connect because it doesn’t support FIPS encryption level. Please lower the server side required security level Policy, or contact your network administrator for assistance |
| 3591 | This user account has expired. For assistance, contact your system administrator or technical support. |
| 3592 | Failed to reconnect to your remote session. Please try to connect again. |
| 3593 | The remote PC doesn’t support Restricted Administration mode. |
| 3847 | This user account’s password has expired. The password must change in order to logon. Please update the password or contact your system administrator or technical support. |
| 3848 | A connection will not be made because credentials may not be sent to the remote computer. For assistance, contact your system administrator. |
| 4103 | The system administrator has restricted the times during which you may log in. Try logging in later. If the problem continues, contact your system administrator or technical support. |
| 4104 | The remote session was disconnected because your computer is running low on video resources. Close your other programs, and then try connecting again. If the problem continues, contact your network administrator or technical support. |
| 4359 | The system administrator has limited the computers you can log on with. Try logging on at a different computer. If the problem continues, contact your system administrator or technical support. |
| 4615 | You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support. |
| 4871 | The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support. |
| 5127 | The Kerberos sub-protocol User2User is required. For assistance, contact your system administrator or technical support. |
| 6919 | Remote Desktop cannot connect to the remote computer because the authentication certificate received from the remote computer is expired or invalid. In some cases, this error might also be caused by a large time discrepancy between the client and server computers. |
| 7431 | Remote Desktop cannot verify the identity of the remote computer because there is a time or date difference between your computer and the remote computer. Make sure your computer’s clock is set to the correct time, and then try connecting again. If the problem occurs again, contact your network administrator or the owner of the remote computer. |
| 8711 | Your computer can’t connect to the remote computer because your smart card is locked out. Contact your network administrator about unlocking your smart card or resetting your PIN. |
| 9479 | Could not auto-reconnect to your applications,please re-launch your applications |
| 9732 | Client and server versions do not match. Please upgrade your client software and then try connecting again. |
| 33554433 | Failed to reconnect to the remote program. Please restart the remote program. |
| 33554434 | The remote computer does not support RemoteApp. For assistance, contact your system administrator. |
| 50331649 | Your computer can’t connect to the remote computer because the username or password is not valid. Type a valid user name and password. |
| 50331650 | Your computer can’t connect to the remote computer because it can’t verify the certificate revocation list. Contact your network administrator for assistance. |
| 50331651 | Your computer can’t connect to the remote computer due to one of the following reasons: 1) The requested Remote Desktop Gateway server address and the server SSL certificate subject name do not match. 2) The certificate is expired or revoked. 3) The certificate root authority does not trust the certificate. Contact your network administrator for assistance. |
| 50331652 | Your computer can’t connect to the remote computer because the SSL certificate was revoked by the certification authority. Contact your network administrator for assistance. |
| 50331653 | This computer can’t verify the identity of the RD Gateway «». It’s not safe to connect to servers that can’t be identified. Contact your network administrator for assistance. |
| 50331654 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server address requested and the certificate subject name do not match. Contact your network administrator for assistance. |
| 50331655 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server’s certificate has expired or has been revoked. Contact your network administrator for assistance. |
| 50331656 | Your computer can’t connect to the remote computer because an error occurred on the remote computer that you want to connect to. Contact your network administrator for assistance. |
| 50331657 | An error occurred while sending data to the Remote Desktop Gateway server. The server is temporarily unavailable or a network connection is down. Try again later, or contact your network administrator for assistance. |
| 50331658 | An error occurred while receiving data from the Remote Desktop Gateway server. Either the server is temporarily unavailable or a network connection is down. Try again later, or contact your network administrator for assistance. |
| 50331659 | Your computer can’t connect to the remote computer because an alternate logon method is required. Contact your network administrator for assistance. |
| 50331660 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server address is unreachable or incorrect. Type a valid Remote Desktop Gateway server address. |
| 50331661 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server is temporarily unavailable. Try reconnecting later or contact your network administrator for assistance. |
| 50331662 | Your computer can’t connect to the remote computer because the Remote Desktop Services client component is missing or is an incorrect version. Verify that setup was completed successfully, and then try reconnecting later. |
| 50331663 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server is running low on server resources and is temporarily unavailable. Try reconnecting later or contact your network administrator for assistance. |
| 50331664 | Your computer can’t connect to the remote computer because an incorrect version of rpcrt4.dll has been detected. Verify that all components for Remote Desktop Gateway client were installed correctly. |
| 50331665 | Your computer can’t connect to the remote computer because no smart card service is installed. Install a smart card service and then try again, or contact your network administrator for assistance. |
| 50331666 | Your computer can’t stay connected to the remote computer because the smart card has been removed. Try again using a valid smart card, or contact your network administrator for assistance. |
| 50331667 | Your computer can’t connect to the remote computer because no smart card is available. Try again using a smart card. |
| 50331668 | Your computer can’t stay connected to the remote computer because the smart card has been removed. Reinsert the smart card and then try again. |
| 50331669 | Your computer can’t connect to the remote computer because the user name or password is not valid. Please type a valid user name and password. |
| 50331671 | Your computer can’t connect to the remote computer because a security package error occurred in the transport layer. Retry the connection or contact your network administrator for assistance. |
| 50331672 | The Remote Desktop Gateway server has ended the connection. Try reconnecting later or contact your network administrator for assistance. |
| 50331673 | The Remote Desktop Gateway server administrator has ended the connection. Try reconnecting later or contact your network administrator for assistance. |
| 50331674 | Your computer can’t connect to the remote computer due to one of the following reasons: 1) Your credentials (the combination of user name, domain, and password) were incorrect. 2) Your smart card was not recognized. |
| 50331675 | Remote Desktop can’t connect to the remote computer «» for one of these reasons: 1) Your user account is not listed in the RD Gateway’s permission list 2) You might have specified the remote computer in NetBIOS format (for example, computer1), but the RD Gateway is expecting an FQDN or IP address format (for example, computer1.fabrikam.com or 157.60.0.1). Contact your network administrator for assistance. |
| 50331676 | Remote Desktop can’t connect to the remote computer «» for one of these reasons: 1) Your user account is not authorized to access the RD Gateway «» 2) Your computer is not authorized to access the RD Gateway «» 3) You are using an incompatible authentication method (for example, the RD Gateway might be expecting a smart card but you provided a password) Contact your network administrator for assistance. |
| 50331679 | Your computer can’t connect to the remote computer because your network administrator has restricted access to this RD Gateway server. Contact your network administrator for assistance. |
| 50331680 | Your computer can’t connect to the remote computer because the web proxy server requires authentication. To allow unauthenticated traffic to an RD Gateway server through your web proxy server, contact your network administrator. |
| 50331681 | Your computer can’t connect to the remote computer because your password has expired or you must change the password. Please change the password or contact your network administrator or technical support for assistance. |
| 50331682 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server reached its maximum allowed connections. Try reconnecting later or contact your network administrator for assistance. |
| 50331683 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server does not support the request. Contact your network administrator for assistance. |
| 50331684 | Your computer can’t connect to the remote computer because the client does not support one of the Remote Desktop Gateway’s capabilities. Contact your network administrator for assistance. |
| 50331685 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server and this computer are incompatible. Contact your network administrator for assistance. |
| 50331686 | Your computer can’t connect to the remote computer because the credentials used are not valid. Insert a valid smart card and type a PIN or password, and then try connecting again. |
| 50331687 | Your computer can’t connect to the remote computer because your computer or device did not pass the Network Access Protection requirements set by your network administrator. Contact your network administrator for assistance. |
| 50331688 | Your computer can’t connect to the remote computer because no certificate was configured to use at the Remote Desktop Gateway server. Contact your network administrator for assistance. |
| 50331689 | Your computer can’t connect to the remote computer because the RD Gateway server that you are trying to connect to is not allowed by your computer administrator. If you are the administrator, add this Remote Desktop Gateway server name to the trusted Remote Desktop Gateway server list on your computer and then try connecting again. |
| 50331690 | Your computer can’t connect to the remote computer because your computer or device did not meet the Network Access Protection requirements set by your network administrator, for one of the following reasons: 1) The Remote Desktop Gateway server name and the server’s public key certificate subject name do not match. 2) The certificate has expired or has been revoked. 3) The certificate root authority does not trust the certificate. 4) The certificate key extension does not support encryption. 5) Your computer cannot verify the certificate revocation list. Contact your network administrator for assistance. |
| 50331691 | Your computer can’t connect to the remote computer because a user name and password are required to authenticate to the Remote Desktop Gateway server instead of smart card credentials. |
| 50331692 | Your computer can’t connect to the remote computer because smart card credentials are required to authenticate to the Remote Desktop Gateway server instead of a user name and password. |
| 50331693 | Your computer can’t connect to the remote computer because no smart card reader is detected. Connect a smart card reader and then try again, or contact your network administrator for assistance. |
| 50331695 | Your computer can’t connect to the remote computer because authentication to the firewall failed due to missing firewall credentials. To resolve the issue, go to the firewall website that your network administrator recommends, and then try the connection again, or contact your network administrator for assistance. |
| 50331696 | Your computer can’t connect to the remote computer because authentication to the firewall failed due to invalid firewall credentials. To resolve the issue, go to the firewall website that your network administrator recommends, and then try the connection again, or contact your network administrator for assistance. |
| 50331698 | Your Remote Desktop Services session ended because the remote computer didn’t receive any input from you. |
| 50331699 | The connection has been disconnected because the session timeout limit was reached. |
| 50331700 | Your computer can’t connect to the remote computer because an invalid cookie was sent to the Remote Desktop Gateway server. Contact your network administrator for assistance. |
| 50331701 | Your computer can’t connect to the remote computer because the cookie was rejected by the Remote Desktop Gateway server. Contact your network administrator for assistance. |
| 50331703 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway server is expecting an authentication method different from the one attempted. Contact your network administrator for assistance. |
| 50331704 | The RD Gateway connection ended because periodic user authentication failed. Try reconnecting with a correct user name and password. If the reconnection fails, contact your network administrator for further assistance. |
| 50331705 | The RD Gateway connection ended because periodic user authorization failed. Try reconnecting with a correct user name and password. If the reconnection fails, contact your network administrator for further assistance. |
| 50331707 | Your computer can’t connect to the remote computer because the Remote Desktop Gateway and the remote computer are unable to exchange policies. This could happen due to one of the following reasons: 1. The remote computer is not capable of exchanging policies with the Remote Desktop Gateway. 2. The remote computer’s configuration does not permit a new connection. 3. The connection between the Remote Desktop Gateway and the remote computer ended. Contact your network administrator for assistance. |
| 50331708 | Your computer can’t connect to the remote computer, possibly because the smart card is not valid, the smart card certificate was not found in the certificate store, or the Certificate Propagation service is not running. Contact your network administrator for assistance. |
| 50331709 | To use this program or computer, first log on to the following website: <a href=»»></a>. |
| 50331710 | To use this program or computer, you must first log on to an authentication website. Contact your network administrator for assistance. |
| 50331711 | Your session has ended. To continue using the program or computer, first log on to the following website: <a href=»»></a>. |
| 50331712 | Your session has ended. To continue using the program or computer, you must first log on to an authentication website. Contact your network administrator for assistance. |
| 50331713 | The RD Gateway connection ended because periodic user authorization failed. Your computer or device didn’t pass the Network Access Protection (NAP) requirements set by your network administrator. Contact your network administrator for assistance. |
| 50331714 | Your computer can’t connect to the remote computer because the size of the cookie exceeded the supported size. Contact your network administrator for assistance. |
| 50331716 | Your computer can’t connect to the remote computer using the specified forward proxy configuration. Contact your network administrator for assistance. |
| 50331717 | This computer cannot connect to the remote resource because you do not have permission to this resource. Contact your network administrator for assistance. |
| 50331718 | There are currently no resources available to connect to. Retry the connection or contact your network administrator. |
| 50331719 | An error occurred while Remote Desktop Connection was accessing this resource. Retry the connection or contact your system administrator. |
| 50331721 | Your Remote Desktop Client needs to be updated to the newest version. Contact your system administrator for help installing the update, and then try again. |
| 50331722 | Your network configuration doesn’t allow the necessary HTTPS ports. Contact your network administrator for help allowing those ports or disabling the web proxy, and then try connecting again. |
| 50331723 | We’re setting up more resources, and it might take a few minutes. Please try again later. |
| 50331724 | The user name you entered does not match the user name used to subscribe to your applications. If you wish to sign in as a different user please choose Sign Out from the Home menu. |
| 50331725 | Looks like there are too many users trying out the Azure RemoteApp service at the moment. Please wait a few minutes and then try again. |
| 50331726 | Maximum user limit has been reached. Please contact your administrator for further assistance. |
| 50331727 | Your trial period for Azure RemoteApp has expired. Ask your admin or tech support for help. |
| 50331728 | You no longer have access to Azure RemoteApp. Ask your admin or tech support for help. |
I have a customer that has experienced a catastrophic failure of their Windows Server 2003 R2 active directory server. This was the sole AD controller on the network. The hard drive died completely.
I have a backup made using MozyPro that contains all the AD and registry files/Sysvol etc.
I have set up a new virtual machine in Hyper-V to use as new domain controller. I have installed Windows Server 2003 R2 on the machine and installed all required updates to bring the machine up to date.
I then installed Active Directory Role on the machine, reboot into active directory repair mode, replace files including NTDS.dit with the versions in the backup downloaded from MozyPro.
Upon rebooting the machine I get the following error message:
«Directory services could not start because of the following error: The specified network password is not correct. Error Status: 0xc00006a.» etc. The machine then reboots. I can still get into Active Directory Repair Mode.
Anybody out there know how to fix this?
asked Feb 7, 2013 at 10:53
Oh wow. You can’t just restore a failed Active a directory domain with a file-level backup. If this was your only Domain Controller, you really need a bare metal restore or to jump through a lot of unsupported hoops.
If you had a system state backup and recreated the disk/OS layout of the old server and did an authoritative restore of AD after doing a system state recovery and file level recovery, then this would probably work as well.
It’s not enough to just copy ntds.dit back to the old location.
answered Feb 9, 2013 at 15:08
MDMarraMDMarra
100k32 gold badges195 silver badges327 bronze badges
Обновлено 05.01.2023
net stop netlogon && net start netlogonДобрый день! Уважаемые читатели и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами рассматривали границы применения групп Active Directory, и надеюсь вы разобрались, где и какие следует использовать. Сегодня я хочу рассмотреть, очень частую и жизненную ситуацию, которая есть в любой доменной среде, а именно блокировка учетной записи Windows в Active Directory. Данную проблему вы легко встретите на предприятиях, где есть свои политики PSO и политики смены паролей. Так, что давайте прокачаем свои знания и научимся разбираться в данной ситуации.
Причина блокировки пользователя Active Directory
Давайте разбираться, какие существуют причины блокирования учетных записей пользователей в Active Directory. Как я и говорил выше, данная ситуация существует в компаниях, где есть политики паролей, которые подразумевают блокировку учетной записи при вводе определенного количества не правильных паролей, это правильно с точки зрения безопасности и выявления таких случаев, когда кто-то пытается скомпрометировать ваши ресурсы.
Вот так вот выглядит сообщение о блокировке:
Учетная запись пользователя заблокирована и не может быть использована для входа в сеть (The referenced account is currently locked out and may not be logged on to)
Как видите в моем примере, пользователь по имени Барбоскин Геннадий Викторович не может начать работать, так как залочен.
Если в оснастке Active Directory — Пользователи и компьютеры, посмотреть свойства заблокированной учетной записи на вкладке «Учетная запись», то вы обнаружите статус:
Разблокируйте учетную запись. Учетная запись на этом контроллере домена Active Directory на данный момент заблокирована (Unlock account. This account is currently locked out on this Active Directory Domain Controller).
Ставим галку и разблокируем учетную запись. После этого нужно выявлять причины.
Из основных причин блокировки я могу выделить:
- Идет подбор пароля, так называемый брутфорс, что в итоге приводит к блокировкам
- Бывают моменты, что человек пришел из отпуска и напрочь забыл свой пароль, ввел его несколько раз не правильно, чем вызвал блокирование
- После изменения пароля, у пользователя остались старые подключения WIFI на компьютере или телефоне со старыми учетными данными, которые пытаются автоматически подключиться к сервисам компании, это является основной причиной блокировки в Active Directory
- Как и в случае с WIFI, у пользователя после смены пароля, могут быть закэшированные, старые пароли в доступах к сетевым шарам, Outlook календарям и другим программам, которые однажды попросили ввести логин и пароль.
- Иногда бывают задания в планировщике Windows, которые запускались от имени пользователя, а не системы
- Забытые сессии на удаленном рабочем столе, был у меня случай когда у пользователя были права и он подключался по RDP к серверу. потом у него права забрали, а сессию разлогинить забыли, в итоге у него меняется пароль и его начинает каждый день по 5-10 раз блокировать, пака сессию не убили, проблема была актуальной.
- Сохраненные пароли в браузерах
- Службы работающие из под доменной учетной записи
Где настраивается политика блокировки учетных записей в домене
По рекомендациям компании Microsoft, политику блокировки учетной записи Windows настраивают на уровне домена, и чаще всего используют для этого уже имеющуюся политику «Default Domain Policy». Открываем редактор групповой политики и щелкаем правым кликом мыши по политике «Default Domain Policy», из контекстного меню выберите пункт «Изменить».
Переходим с вами по пути: Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей (Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy)
Тут в политике будет три пункта:
- Время до сброса счетчика блокировки (Reset account lockout counter after) — в данном параметре задается, через какое количество времени система обнулит счетчик неудачных попыток авторизации. (Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. ). В моем примере я настроил политику «Время до сброса счетчика блокировки» на 10 минут, думаю больше не стоит.
- Пороговое значение блокировки (Account lockout threshold) — Тут вы задаете, сколько будет допустимых неправильных попыток ввода, после превышения которых учетная запись Windows будет заблокирована (Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему). Я в своей политике задал пороговое значение блокировки равным 5-ти, этого думаю хватит, чтобы правильно ввести свой пароль.
- Продолжительность блокировки учетной записи (Account lockout duration) — ну тут все просто, собственно время блокировки учетной записи Windows в Active Directory. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.
Как выяснить причину блокировки учетной записи
Выше я вас рассказал, из-за чего может все лочиться, теперь нужно выяснить с какого компьютера или устройств, это происходит. Ко мне на работе за неделю попадает 5-7 заявок с подобным вопросом, пользователь сменил пароль и у него началась веселая игра под названием угадайка, где я оставил свои старые данные, по которым меня банит контроллер домена. Чтобы однозначно ответить на этот вопрос вам как системному администратору необходимо настроить специальную политику аудита, призванную следить за соответствующими событиями по которым вы сможете дать однозначный ответ по причинам блокировок. По умолчанию данный вид аудита не настроен.
Про аудит Active Directory я подробно рассказывал, можете посмотреть по ссылке, тут я приведу легкую его выдержку, для полноты статьи. Нам нужно включить политику аудита входа, на уровне домена. (Так же вы можете подробно почитать про расширенный аудит, дающий более тонкие настройки https://technet.microsoft.com/ru-ru/library/mt431761%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396)
Включение политики аудита входа
Открываем редактор групповой политики и находим в нем дефолтную политику «Default Domain Policy», открываем ее и переходим по такому пути.
Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политики аудита
Тут будут такие политики:
- Аудит входа в систему
- Аудит доступа к объектам
- Аудит доступа к службе каталогов
- Аудит изменений политики
- Аудит использования привилегий
- Аудит отслеживания процессов
- Аудит системных событий
- Аудит событий входа в систему
- Аудит управления учетными записями
Нас будет интересовать включение аудита входа в систему, именно данный вид будет генерировать события 4771 и 4624. Открываем ее и ставим галки «Успех и отказ»
Так же советую задать политику аудита событий входа в систему, так же установите «Успех и отказ»
Ну и настроим еще таким же способом «Аудит управления учетными записями«, чтобы мы видели события с кодом 4740.
Когда политика настроена, то вы можете ее принудительно обновить или дождаться автоматического обновления в течении 90-120 минут.
Какие события отслеживать в журнале безопасность
Чтобы отследить устройство вызывающее блокировки учетной записи, нужно понять алгоритм работы данного механизма. Когда кто-то пытается вводить учетные данные в Active Directory, то он идет на ближайший к нему контроллер домена (Кстати выяснить какой контроллер домена вас аутентифицировал можно очень просто, я об этом рассказывал, если интересно, то посмотрите). Данный контроллер домена видит, что пользователь предоставляет некорректные учетные данные и отсылает этот запрос аутентификации на контроллер, который обладает ролью PDC и FSMO. Так как данная роль PDC-эмулятор и отвечает в доменной среде за обработку блокировок учетных записей. Если PDC-эмулятор видит не корректные данные, то он возвращает ответ контроллеру домена, который ему это прислал, что аутентификация не возможна, и в следствии этого генерируется событие 4740, на обоих контроллерах
- 4771 — Это событие возникает каждый раз, когда не удается центром распространения ключей для выдачи Kerberos билетов предоставить билета (TGT). Это может произойти, когда контроллер домена не установлен сертификат для проверки подлинности смарт-карты (например, с помощью «Контроллера домена» или «Проверка подлинности контроллера домена» шаблона), истек срок действия пароля пользователя или неправильный пароль был предоставленные. 4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. (Подробнее про 4771 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4771)
- 4776 — Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Если происходит сбой попытки проверки учетных данных, вы увидите, что событие отказов с значение параметра Код ошибки не равно «0x0» (Подробнее про событие 4476 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4776)
- 4740 — Учетная запись указанного пользователя была заблокирована после нескольких попыток входа (Подробнее про событие 4740 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4740)
- 4662 — Это событие создается только в том случае, если соответствующие SACL настроен для объекта Active Directory и выполнить операцию не удалось (Подробнее https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4662).
- 5136 — Объект службы каталогов был изменен (A directory service object was modified)
Как удобно отслеживать события блокировки
Я приведу примеры, как это делаю я и как это можно автоматизировать и оповещать вас заранее, чем это сделает представитель технической поддержки. Самый правильный вариант, это использование систем мониторинга, таких как SCOM или Zabbix, но если их нет, то можно упростить себе жизнь вот такими утилитами. Могу точно сказать, что у вас в компании, как минимум не один контроллер домена, в противном случае у вас проблемы. Бегать по каждому из контроллеров домена, это не лучший вариант, правильнее будет либо перенаправлять все события на централизованный коллектор или же воспользоваться двумя волшебными утилитами, которые вам упростят жизнь.
Я вам рассказывал про набор утилит от компании Microsoft под названием Active Directory ALTools. Там была утилита LockoutStatus.exe. В задачи которой и входило определение статуса пользовательской учетной записи, заблокирована она или нет, и если до, то на каком контроллере домена. Скачайте ее и запустите. Нажимаете пункт меню «File — Select Target», для того чтобы выбрать логин нужной учетной записи.
В поле «Target User Name» вы указываете логин пользователя, кто подвергся блокировке в Active Directory.
На выходе вы получите отчет по всем контроллерам в домене, о статусе вашей учетной записи. Как видите, мой Барбоскин Геннадий Викторович заблокирован и имеет статус «Locked», видно количество попыток неправильного ввода пароля (Bad Pwd Count) и на каких контроллерах домена, на них мы и будем искать нужные нам события, о которых я говорил выше.
Открываем просмотр событий на нужном контроллере домена. Переходим в журнал «Безопасность (Security)» именно в нем кроется причина блокировки учетной записи Барбоскина Геннадия. Так как событий огромное количество, то нам нужно отфильтровать наш журнал событий. Для этого есть кнопка «Filter Current Log (Фильтр текущего журнала)», она позволит нам выбрать только те события, которые нам нужны.
В поле «Logged (Дата)» указываем за какой срок нужны данные, я укажу 12 часов, и в поле все события, укажем номер ID 4740 и нажимаем «Ок»
Видим нашлось 50 событий, но может быть и больше и чтобы ускорить поиск нужного события, мы воспользуемся поисков, для этого нажмите кнопку «Find (Поиск)»
В поисковом поле указываем нужный вам логин учетной записи Windows и нажимаем поиск, если сообщений много, то он может слегка подвисать, не переживайте по этому поводу.
В итоге у меня нашлось событие с кодом 4740, из которого видна причина блокировки учетной записи. В данном случае это рабочая станция с именем SVTTSETMAIN01, это тестовая виртуальная машина, как видите тут статус «A user account was locked out», можно переходить на эту машину и смотреть в чем там дело.
В событиях 4740 вы можете встреть еще вот такие причины блокировки учетной записи Active Directory, так например у меня имя сервера, где происходит блокирование EXchange, означает, что проблема в Outlook или его календарем. Я вам рассказывал, где кэшируются его данные доступа, в заметка Outlook постоянно запрашивает пароль.
В моей компании используются сервисы Google, такие как G-Sute и общие файловые диски, и вот при смене пароля пользователем, в данных утилитах могут остаться старые данные, в результате чего вы будите видеть в логах в компьютере блокировки имя WORKSTATION. Думаю с событием 4740 все понятно, но оно не всегда показывает подробный источник блокировки, поэтому нужно смотреть событие 4771.
Вот пример блокировки из-за WiFI подключения, об это мне говорит имя компьютера CISCO точки доступа. Как видите причин может быть очень много.
Более подробную причину блокировки учетной записи Windows на покажет событие 4771. Сделаем так же фильтрацию и по нему. Основное сообщение тут «Kerberos pre-authentication failed», обратите внимание тут есть IP-адрес, что уже хорошо, это дополнительная информация, показывающая территориальный источник. В ошибка есть код отказа Kerberos, таблица была представлена выше.
Еще может быть полезным событие с кодом 4776, тут то же будет показано с какой рабочей станции была попытка ввода учетных данных.
Кстати получив IP-адрес вы можете посмотреть его mac адрес на DHCP сервере или же на сетевом оборудовании, например, Cisco, я показывал как там узнать mac-адрес.
Далее с помощью специальных сервисов можно определить, что за производитель у данного mac-адреса, сайтов в интернете полно, которые вам помогу, например, https://2ip.ua/ru/services/information-service/mac-find. Будет полезно с мобильными устройствами.
Еще полезным будет изучение события 4625, там вы можете обнаружить процесс из-за которого происходит блокировка учетных записей.
Если вы у себя в Active Directory используете определение имени системы куда был залогинен пользователь в последний раз, то для вас будет полезно событие IS 5136. Тут в конкретное поле у меня записывается имя компьютера, и вот пробежавшись по таким событиям, я обнаружил, что имя компьютера там бывает разное, что подсказывает, где еще от имени пользователя могут идти попытки с неправильным паролем и как следствие, блокировка учетной записи.
Как видите утилита от компании Mirosoft отлично работает, но можно посмотреть, что-то более удобное, мне нравится утилита Account Lockout Examiner от Netwrix, она бесплатная и позволяет создавать портал для технической поддержки, где они могут видеть кто заблокирован и разблокировать его, а так же причину и она умеет посылать оповещения по электронной почте.
Утилита Account Lockout Examiner проста в установке и потребует от вас две вещи:
- Указание имени домена для поиска событий блокировки учетных записей Windows
- Учетные данные от имени которых будет обращение к контроллерам домена
Через некоторое время вы получите табличку со всем пользователями у кого наблюдаются проблемы с блокировкой учеток. Тут вы увидите столбец «Workstation» в котом вы увидите адрес устройства блокировки, есть поле Bad Pwd Count показывающее количество попыток неправильно введенного пароля и дата последнего ввода. В самом конце вы увидите статусы пользователей Not locked или Locked.
Тут же вы можете через правый клик разблокировать пользователя.
В настройках Account Lockout Examine вы можете указать адрес электронной почты и сервер, для уведомлений, о событиях блокировки пользователей.
Если развернете IIS на данном сервер, где установлена утилита, то сможете создать портал для технической поддержки, где можно делегировать права на разблокировку пользователей.
Поиск компьютера блокирующего пользователя через PowerShell
PowerShell, очень мощное средство позволяющее сделать очень многое, вот пример поиска устройства из-за которого блокируется учетная запись. Открываем PowerShell ISE и вводим код:
$Username = ‘username1’
$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @{
‘Computername’ = $Pdce
‘LogName’ = ‘Security’
‘FilterXPath’ = «*[System[EventID=4740] and EventData[Data[@Name=’TargetUserName’]=’$Username’]]»
}
$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Properties[1].value + ‘ ‘ + $_.TimeCreated}
Единственное не забудьте поменять в $Username = ‘username1’ на своего пользователя, можете скачать уже готовый скрипт у меня. На выходе вы получаете имя компьютера.
Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:
$Username = ‘username1’
Get-ADDomainController -fi * | select -exp hostname | % {
$GweParams = @{
‘Computername’ = $_
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}
$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Computer + " " +$_.Properties[1].value + ' ' + $_.TimeCreated}
}
Еще один вариант скрипта, тут я обращаюсь к конкретному серверу, куда идет форвардинг событий со всех контроллеров домена.
#Задаем кого ищем
$Username = «barboskin.g»
#Сервер
$Server= «SVP.root.pyatilistnik.org»
#Задаем дату, сейчас за последний день
$day = (get-date).AddDays(-1)
#Обращаемся к серверу, ищем ID 4740, последние два события
Get-WinEvent -ComputerName $Server -FilterHashTable @{LogName=»ForwardedEvents»;StartTime=$day; id=»4740″} | Where-Object {$_.Message -like «*$Username*»} | Select -Last 2 | FL
Надеюсь, что мой скромный опыт слегка вам поможет в поиске причин, по которым у вас в домене блокируются учетные записи Active Directory.
Включение ведения расширенного журнала отладки для службы Netlogon (Обновление 04.01.2023)
Январские праздники, идеальное время чтобы забыть пароль, после чего конечно же человека заблокирует. Вот реальный пример, есть коллега отвечающий за работу 1С, потребовалось выполнить какую-то работу в начале января, но сотрудник не смог его учетная запись была заблокирована. В логах видно, что 3от имени учетной записи пользователя в секунду прилетает по несколько неудачных попыток входа, о чем говорит код 0x000006A, а после чего идет статус «Заблокирована учетная запись пользователя«, при активации учетной записи, все мгновенно повторяется.
После этого журнал был забит:
ID 4776: 2023-01-04T15:39:31 Сведения [DC1.Pyatilistnik.org.Security.Microsoft-Windows-Security-Auditing] Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: kom
Исходная рабочая станция:
Код ошибки: 0xC0000234 (Означает, что учетная запись заблокирована)
К сожалению описанные выше ID событий толком не помогли и не показали, откуда идет блокировка, забегу вперед, это оказалась Linux виртуальная машина, поэтому она и не представилась службе Netlogon и не фигурировала в поле «Caller Computer Name«
Еще так же вы можете увидеть ID 4740, но со странным содержанием:
A user account was locked out.
Subject:
Security ID: DC1$
Account Name: ROOT
Account Domain: 0x3e7
Logon ID: %7
Account That Was Locked Out:
Security ID: %3
Account Name: %1
Additional Information:
Caller Computer Name: %2
Тут главное запомнить на каком контроллере оно появилось, не всегда это PDC эмулятор, далее откройте вкладку «Details» и включите XML View. Там подробнее все будет структурировано, но к сожалению вы не увидите. откуда проблема.
Чтобы решить эту ситуацию с блокировкой учетной записи, нам нужно на контроллере домена, где это происходит включить ведения расширенного журнала отладки для службы Netlogon.
https://learn.microsoft.com/ru-ru/troubleshoot/windows-client/windows-security/enable-debug-logging-netlogon-service
Это позволит записывать трассировки для Netlogon и получать кучу дополнительных сведений. Описанная ниже команда подойдет для Windows Server 2019/2022, Windows Server 2016 и Windows Server 2012 R2. К командной строке в режиме администратора введите:
Далее перезапустим службу:
net stop netlogon && net start netlogon
После того, как вы активировали ведение расширенного журнала Netlogon, у вас по пути %windir%debugnetlogon.log будет файл лог.
Для отключения расширенного режима (Когда посчитаете нужным) введите:
Nltest /DBFlag:0x0
и далее
net stop netlogon && net start netlogon
Я начал изучать логи на DC1. Быстро пробежаться по файлу можно командой:
type C:Windowsdebugnetlogon.log | findstr kom
kom — это искомый логин.
Или как я это делаю в LogViewPlus. В результате я обнаружил, что события блокировки идут от другого контроллера домена из корневого домена. Включаю на DC07 так же режим расширенного ведения логов Netlogon.
01/04 16:20:28 [LOGON] [8972] ROOT: SamLogon: Transitive Network logon of rootkom from (via DC07) Returns 0xC0000234
На DC07, я уже в журнале netlogon.log увидел кто обращается к контроллеру DC07. оказалось, что это файловая нода кластера DFS. Идем на нее и смотрим логи.
И вот уже анализируя логи на DFS ноде, я увидел в событии ID 4625, что учетной записи не удалось выполнить вход в систему с сетевого адреса источника, где указан был его IP-адрес. БИНГО. После того, как утилита nslookup показа кто, это стало все понятно. Это был Linux сервер, которому до лампочки на службу Netlogon, чтобы ей представляться, внутри этого сервера была смонтирована сетевая шара на эту DFS ноду с учетными данным пользователя.
Всегда используйте служебные вещи для этого
В результате от монтировали файловую шару и учетную запись удалось разблокировать.
Блокировка учетной записи не в домене Active Directory
В случае с Active Directory все понятно, а как быть если учетная запись заблокировалась на вашем локальном, домашнем компьютере. Тут две ситуации, если у вас есть заблокировалась одна из нескольких учетных записей и у других записей есть права администратора, то вы можете все разблокировать, и вторая ситуация, если у вас одна учетная запись и она залочилась, тут будет повеселее, но так же все поправимо. Я опущу причины блокировки, вероятнее всего у вас стоит политика блокировки и вы ее можете поправить через локальную, для этого в окне выполнить напишите gpedit.msc и отключите пункты, о которых я писал в самом начале, либо же с вами кто-то подшутил таким образом выставив вам эту политику, но не суть.
Как разблокировать учетную запись в Windows 10 имея вторую учетку
Если у вас блокировка учетной записи windows 10 уже свершилась, и есть в наличии вторая учетная запись, например у папы своя у мамы своя, то сделайте следующее. Чтобы снять блокировку активируйте учетную запись, откройте окно выполнить, через сочетание клавиш WIN и R и введите название оснастки lusrmgr.msc
Открываем контейнер «Пользователи» и находим нужного нам, переходим в его свойства
Снимаем у нее галку «Заблокировать учётную запись» и нажимаем применить, все учетная запись теперь будет в рабочем состоянии.
Как разблокировать свою учётную запись Windows, если нет административного доступа
Чтобы обойти блокировку учетной записи, можно пойти двумя путями, легким и посложнее. Самый простой способ разблокировать учетную запись не имя административных прав, это воспользоваться загрузочным диском SonyaPE. Когда вы сделаете из него загрузочную флешку и загрузитесь с нее, то получите рабочий стол Windows 7. Там есть утилита Active@ Password Changer Professional 3.8, которая позволит вам включить и сбросить пароль от встроенной учетной записи Администратор, которая есть в любой операционной системе Windows, далее зайдя под ней вы разблокируете нужную нам учетную запись, как я описывал выше.
Как видите этот метод позволяет обойти блокировку учетной записи, но он не единственный, допустим у вас под рукой нет такого диска, как SonyaPE, что делать. Можно воспользоваться встроенными средствами восстановления Windows или же ими, но на любом установочном диске с Windows вашей редакции. В заметке «Как вернуть предыдущую версию виндоус 10» я показал метод попадания в дополнительные инструменты Windows 10.
Либо вы можете попасть в эти утилиты, через инструменты восстановления системы, о которых шла речь в заметке про восстановление загрузчика Windows 10.
В том и в другом случае, вам необходимо открыть командную строку.
В командной строке введите regedit
Выбираем раздел HKEY_LOCAL_MACHINE, после чего в меню «Файл» выберите пункт «Загрузить куст».
У вас откроется проводник Windows. В моем компьютере, перейдите по пути WindowsSystem32Config. В этой папке лежит файл локальной базы данных пользователей, по имени SAM. Выбираем его и открываем.
Задаем имя новому кусту, для примера это будет 777.
Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Переходим в ней по пути: 777 – SAM – Domains – Account – Users – Names. Тут вам необходимо идентифицировать вашу учетную запись, которая находится в блокировке. В моем примере, это Василий. Выбрав Васю, посмотрите, что по умолчанию он имеет значение 0x3f8
Выбираем теперь куст 00003f8. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.
В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.
Двойным кликом щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно.
Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее «Выгрузить куст». Все необходимые изменения внесены.
Перезагружаем ваш компьютер и пробуем войти под вашей учетной записью, она уже не должна быть заблокирована. На этом все, с вами был Семин Иван, автор и создатель IT блога Pyatilistnik.org.




























































