Идентификатор события 4740: учетная запись пользователя была заблокирована (исправление)

  • Идентификатор события 4740 появляется в журнале безопасности, когда учетная запись пользователя заблокирована в Windows.
  • Здесь мы обсудим событие и то, как мы можем узнать, что его вызвало.

Идентификатор события 4740: учетная запись пользователя была заблокирована (исправление)

Если учетная запись пользователя заблокирована, событие с идентификатором 4740 добавляется к контроллерам домена, а событие с идентификатором 4625 появляется на клиентских компьютерах. Он генерируется, когда учетная запись заблокирована из-за слишком большого количества неудачных попыток.

Событие содержит всю информацию о заблокированной учетной записи пользователя, времени блокировки и источнике неудачных попыток входа в систему (имя компьютера вызывающего абонента).

В этом руководстве мы обсудим все причины события ID 4740 и как найти источник блокировки учетной записи.

Значок подсказки
Кончик

Идентификатор события блокировки учетной записи может различаться в зависимости от версии Windows и используемого продукта безопасности.

Что вызывает событие с кодом 4740, учетная запись пользователя может быть заблокирована?

Существуют различные причины возникновения события. Некоторые из популярных упоминаются здесь:

  • Слишком много неудачных попыток входа – Если пользователь вводит неправильный пароль несколько раз, его учетная запись может быть заблокирована, чтобы предотвратить дальнейшие попытки.
  • Срок действия пароля – Учетная запись может быть заблокирована, если срок действия пароля пользователя истек до тех пор, пока он не сбросит свой пароль.
  • Параметры групповой политики – В вашей организации могут быть установлены параметры групповой политики, которые блокируют учетные записи пользователей после определенного количества неудачных попыток входа или по истечении определенного времени.

Что я могу сделать, чтобы определить источник блокировки учетной записи Event ID 4740?

1. Включите аудит для события 4740.

  1. Нажать на Поиск значок, тип Управление групповой политикойи нажмите Открыть.
  2. Под Доменщелкните правой кнопкой мыши Политика контроллеров домена по умолчанию и выберите Редактировать.Политика контроллеров домена по умолчанию
  3. Теперь в следующем окне следуйте по этому пути: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management
  4. На правой панели дважды щелкните на Аудит управления учетными записями пользователей. Успех 2
  5. Поставьте галочку на Успех и Отказ на Аудит свойств управления учетными записями пользователей окно.Идентификатор события 4740 — аудит свойств управления учетными записями пользователей.
  6. Нажмите Применять и ХОРОШО.

2. Используйте PowerShell, чтобы найти роль эмулятора PDC.

  1. Нажать на Поиск значок, тип PowerShellи нажмите Открыть.Сервер PowerShell
  2. Введите следующую команду, чтобы узнать контроллер домена, который выполняет роль PDC, и нажмите Enter: get-addomain | select PDCEmulator
  3. Для поиска событий блокировки скопируйте и вставьте следующую команду и нажмите Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}
  4. Чтобы отобразить сведения о событии, скопируйте и вставьте следующую команду и нажмите Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl
  5. Вы получите список событий входа в систему.

3. Используйте средство просмотра событий

  • Нажать на Поиск значок, тип Просмотрщик событийи нажмите Открыть.Просмотрщик событий
  • На левой панели перейдите к Журналы Windowsзатем нажмите Безопасность.
  • На правой панели выберите Фильтровать текущий журнал.Средство просмотра событий 2
  • Поиск 4740 и нажмите ХОРОШО. Журнал фильтрации — идентификатор события 4740
  • Вы получите список событий. Нажмите на событие и проверьте подробности источника.

4. Используйте инструмент Microsoft Lockout Status.

  1. Скачайте и установите LockoutStatus.exe
  2. Нажмите на Поиск значок, тип статус блокировкии нажмите Открыть.Статус блокировки
  3. Приложение проверит все события блокировки со всеми экземплярами, источниками и дополнительными сведениями.

5. Используйте сторонний инструмент

Использование бесплатного инструмента устранения неполадок Active Directory, такого как NetTools, помогает устранять неполадки, обновлять запросы и создавать отчеты для каталогов Active Directory и других протоколов облегченного доступа к каталогам. Это переносимый исполняемый файл, который позволяет просматривать разрешения Active Directory и устранять неполадки.

NetTools ищет в журналах событий события, относящиеся к учетной записи на выбранном контроллере домена. Кроме того, он может найти журналы событий любых рядовых серверов в цепочке аутентификации и может отображать информацию, связанную с причиной блокировки. Чтобы узнать источник, выполните следующие действия:

  1. Скачать Неттулс.
  2. Распакуйте zip-файл и запустите исполняемый файл.
  3. Инструмент запустится на левой панели; в разделе «Пользователи» выберите «Последний вход».NetTools — код события 4740
  4. Введите Имя пользователя и сервер, и нажмите Идти.Последний вход
  5. NetTools покажет вам все данные для входа.Неверный пароль при последнем входе
  6. Отсортируйте результаты с помощью Столбец BadPwd. Первая запись в списке будет, когда учетная запись была в последний раз заблокирована.
  7. Чтобы получить подробную информацию, щелкните правой кнопкой мыши контроллер домена с предыдущим временем блокировки и выберите Отображение сведений о событии.Сведения о событии — идентификатор события 4740:

Итак, это самые простые способы узнать источник события блокировки учетной записи с идентификатором 4740. Как только вы получите источник, вы можете легко предпринять шаги, чтобы предотвратить это.

Вы уже пробовали некоторые из этих решений? Или, может быть, вы знаете другие способы решения этого идентификатора события Windows? Не стесняйтесь поделиться своим опытом с нами через раздел комментариев ниже.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *