Powershell Kullanarak Active Directory Hesabı Kilitleme Kaynağının Tespit Edilmesi

Active Directory hesabının kilitlenmesi, bir kullanıcınız için sıklıkla meydana gelen bir şeydir. Birdenbire Outlook kullanıyorlarsa, hatta masalarından uzaktalarsa ve hesap kilitlenirse sinir bozucu olabilir. Bir aktif dizin hesabını neyin kilitlediğini nasıl anlarız? Hızlı cevap bir kez daha Powershell ve Get-WinEvent’tir.

#requires -Module ActiveDirectory
 
Function Get-AccountLockoutStatus {

    [CmdletBinding()]
    param(
        [Parameter(
            ValueFromPipeline=$true,
            ValueFromPipelineByPropertyName=$true,
            Position=0)]
 
        [string[]]     $ComputerName = (Get-ADDomainController -Filter * |  select -ExpandProperty Name),
 
        [Parameter()]
        [string]       $Username,
 
        [Parameter()]
        [int]          $DaysFromToday = 3
             
    )
 
 
    BEGIN {
        $Object = @()
    }
 
    PROCESS {
        Foreach ($Computer in $ComputerName) {
            try {
                $EventID = Get-WinEvent -ComputerName $Computer -FilterHashtable @{Logname = 'Security'; ID = 4740; StartTime = (Get-Date).AddDays(-$DaysFromToday)} -EA 0
                Foreach ($Event in $EventID) {
                    $Properties = @{Computername   = $Computer
                                    Time           = $Event.TimeCreated
                                    Username       = $Event.Properties.value[0]
                                    CallerComputer = $Event.Properties.value[1]
                                    }
                    $Object += New-Object -TypeName PSObject -Property $Properties | Select ComputerName, Username, Time, CallerComputer
                }
 
            } catch {
                $ErrorMessage = $Computer + " Error: " + $_.Exception.Message
                    
            } finally {
                if ($Username) {
                        Write-Output $Object | Where-Object {$_.Username -eq $Username}
                    } else {
                        Write-Output $Object
                }
                $Object = $null
            }
 
        }
             
    }     
 
 
    END {}
 
}

Get-AccountLockoutStatus komutu ile locked durumda olan tüm kullanıcılar sorgulanır,

Get-AccountLockoutStatus -Username xxx komuut ile hedef kullanıcıyı sorgulayabiliriz,

Komut dosyasını çalıştırdıktan sonra, CallerComputer sütununu fark etmelisiniz çünkü bu, hesap kilitlemelerinin kaynak bilgisayarıdır. Kimlik bilgisi yöneticisine gidebilir ve sistemin önbelleğe alınmış tüm kimlik bilgilerini kaldırabilir veya bilgisayarda neler olduğunu görebilirsiniz.

Parolanızı değiştirmenize rağmen hala kilitlenmeler devam ediyorsa,

cmd ya da powershell üzerinden

rundll32.exe keymgr.dll, KRShowKeyMgr

komutunu çalıştırın ve Store User Names and Password uygulaması açılacak, ora üzerinden parola güncellemesini yapabilir ya da tüm kimlik bilgilerini silebilirsiniz, hala kilitlenme devam ediyorsa, MMC üzerinden makine üzerinde expire olmuş sertifikaları silin, Windows Hello girişini iptal edebiliriz, sorun hala devam ediyorsa istemciyi domainden düşürüp tekrardan almayı denemekte fayda var. Başımıza gelmiş saçma bir sorunu bu şekilde çözmüşlüğümüz var.