Konto blokuje się co kilka minut
Scenariusz z życia
Użytkownik dzwoni: „Zmieniłem hasło i działało… ale po chwili znowu konto zablokowane.”
Odblokowujesz — za 3 minuty znowu blokada. To nigdy nie jest wina użytkownika. To prawie zawsze jakieś urządzenie w sieci nadal próbuje logować się starym hasłem.
Active Directory nie blokuje kont „losowo”. Ktoś stale wysyła błędne logowanie.
Co naprawdę się dzieje w tle
Po zmianie hasła: komputer → aktualizuje hasło ✔, ale inne miejsca nadal mają stare ❌.
Każda próba logowania: złe hasło → licznik błędów ↑. Po przekroczeniu progu → blokada konta.
Czyli konto blokuje urządzenie, nie użytkownik.
Najczęstsze źródła blokady
| Źródło | Dlaczego blokuje |
|---|---|
| Telefon (Wi-Fi / Outlook / mail) | zapisane stare hasło |
| Mapowany dysk | zapisane poświadczenia |
| Usługa Windows | działa na starym haśle |
| Zaplanowane zadanie | zapisane credentiale |
| VPN | pamięta stare dane |
| Drukarka / skaner SMB | loguje się do udziału |
| Drugi komputer użytkownika | nie był restartowany |
| Aplikacja księgowa | trzyma sesję |
| RDP | zapisane dane logowania |
👉 W 70% przypadków: telefon albo Outlook.
Jak diagnozuje administrator (krok po kroku)
1️⃣ Sprawdzasz kontroler domeny który blokuje konto
Event Viewer → Security. Szukasz: Event ID 4740 – Account locked out. Tam jest najważniejsze pole: Caller Computer Name. To jest komputer winny blokady.
2️⃣ Jeśli brak nazwy komputera
Sprawdzasz logi uwierzytelniania: Event ID 4625 – failed logon. Szukasz: Source Network Address, Workstation Name.
3️⃣ Masz adres IP → ustalasz urządzenie
ping -a IP lub DHCP leases.
Naprawa (kolejność właściwa)
- Zlokalizuj urządzenie
- Usuń zapisane hasło
- Restart urządzenia
- Odblokuj konto NA KOŃCU
Nigdy odwrotnie.
Czego administrator NIE robi
❌ nie zwiększa limitu blokad
❌ nie wyłącza polityki bezpieczeństwa
❌ nie zmienia hasła użytkownikowi 10 razy
To maskuje problem — nie usuwa przyczyny.
Myślenie administratora
Blokada konta to czujnik bezpieczeństwa, nie błąd. AD mówi: „Ktoś stale próbuje zalogować się niepoprawnie”. Twoim zadaniem jest znaleźć kto.
Zapamiętaj — fakty egzaminowe / zawodowe
- Konto blokuje urządzenie, nie użytkownik
- Event 4740 wskazuje winnego
- Najczęściej: telefon / Outlook / mapowany dysk
- Odblokowanie bez usunięcia przyczyny = powrót blokady
- Najpierw diagnoza, potem odblokowanie
Szybka checklista admina
- Event 4740 → który DC
- Caller Computer Name / IP
- Jakie urządzenie
- Usuń zapisane hasło
- Restart
- Odblokuj konto
Po tej lekcji kursant zaczyna rozumieć: administrator nie resetuje problemów — administrator znajduje źródło.