Podstawy

🔵 ADMIN2 min czytaniaPostęp: 165/233

Konto blokuje się co kilka minut

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Konto blokuje się co kilka minut

Scenariusz z życia

Użytkownik dzwoni: „Zmieniłem hasło i działało… ale po chwili znowu konto zablokowane.”

Odblokowujesz — za 3 minuty znowu blokada. To nigdy nie jest wina użytkownika. To prawie zawsze jakieś urządzenie w sieci nadal próbuje logować się starym hasłem.

Active Directory nie blokuje kont „losowo”. Ktoś stale wysyła błędne logowanie.

Co naprawdę się dzieje w tle

Po zmianie hasła: komputer → aktualizuje hasło ✔, ale inne miejsca nadal mają stare ❌.

Każda próba logowania: złe hasło → licznik błędów ↑. Po przekroczeniu progu → blokada konta.

Czyli konto blokuje urządzenie, nie użytkownik.

Najczęstsze źródła blokady

ŹródłoDlaczego blokuje
Telefon (Wi-Fi / Outlook / mail)zapisane stare hasło
Mapowany dyskzapisane poświadczenia
Usługa Windowsdziała na starym haśle
Zaplanowane zadaniezapisane credentiale
VPNpamięta stare dane
Drukarka / skaner SMBloguje się do udziału
Drugi komputer użytkownikanie był restartowany
Aplikacja księgowatrzyma sesję
RDPzapisane dane logowania

👉 W 70% przypadków: telefon albo Outlook.

Jak diagnozuje administrator (krok po kroku)

1️⃣ Sprawdzasz kontroler domeny który blokuje konto

Event Viewer → Security. Szukasz: Event ID 4740 – Account locked out. Tam jest najważniejsze pole: Caller Computer Name. To jest komputer winny blokady.

2️⃣ Jeśli brak nazwy komputera

Sprawdzasz logi uwierzytelniania: Event ID 4625 – failed logon. Szukasz: Source Network Address, Workstation Name.

3️⃣ Masz adres IP → ustalasz urządzenie

ping -a IP lub DHCP leases.

Naprawa (kolejność właściwa)

  1. Zlokalizuj urządzenie
  2. Usuń zapisane hasło
  3. Restart urządzenia
  4. Odblokuj konto NA KOŃCU

Nigdy odwrotnie.

Czego administrator NIE robi

❌ nie zwiększa limitu blokad
❌ nie wyłącza polityki bezpieczeństwa
❌ nie zmienia hasła użytkownikowi 10 razy

To maskuje problem — nie usuwa przyczyny.

Myślenie administratora

Blokada konta to czujnik bezpieczeństwa, nie błąd. AD mówi: „Ktoś stale próbuje zalogować się niepoprawnie”. Twoim zadaniem jest znaleźć kto.

Zapamiętaj — fakty egzaminowe / zawodowe

  • Konto blokuje urządzenie, nie użytkownik
  • Event 4740 wskazuje winnego
  • Najczęściej: telefon / Outlook / mapowany dysk
  • Odblokowanie bez usunięcia przyczyny = powrót blokady
  • Najpierw diagnoza, potem odblokowanie

Szybka checklista admina

  1. Event 4740 → który DC
  2. Caller Computer Name / IP
  3. Jakie urządzenie
  4. Usuń zapisane hasło
  5. Restart
  6. Odblokuj konto

Po tej lekcji kursant zaczyna rozumieć: administrator nie resetuje problemów — administrator znajduje źródło.

Notatki (opcjonalnie)