Die Sperrung eines Benutzerkontos in einer Domäne kann sehr ärgerlich sein, besonders wenn dies häufig vorkommt und die Ursache unklar ist. Manchmal liegt es einfach an einem vergessenen Passwort, manchmal versucht eine fehlerhafte Anwendung immer wieder, sich mit veralteten Anmeldedaten anzumelden und verursacht so wiederholte Sperrungen. Die gute Nachricht: Die Lösung ist gar nicht so kompliziert, wenn man weiß, wo man suchen muss. Ohne Vorkenntnisse kann das Ganze etwas mühsam sein, aber nach diesen Schritten wissen Sie genau, wie Sie Konten entsperren und die Richtlinien anpassen, die die Sperrungen möglicherweise verursachen. Und ja, es lohnt sich wahrscheinlich, Benachrichtigungen oder Berechtigungen einzurichten, damit das nicht länger zu einer nächtlichen Odyssee wird.
So beheben Sie die Sperrung von Benutzerkonten in Active Directory
Kontosperrungsrichtlinie in Active Directory
Zunächst ist es wichtig zu verstehen, was diese Kontosperrungen verursacht. Standardmäßig sperrt Active Directory Konten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche, um Brute-Force-Angriffe zu verhindern. Diese Richtlinie befindet sich üblicherweise in der Standarddomänenrichtlinie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Richtlinie zur Kontosperrung. Die drei wichtigsten Einstellungen, die Sie anpassen sollten, sind:
- Kontosperrungsschwelle – wie viele fehlgeschlagene Anmeldeversuche erforderlich sind, bevor das Konto gesperrt wird.Üblicherweise sind es 10 Versuche, was ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit darstellt.
- Dauer der Kontosperrung – wie lange das Konto gesperrt bleibt. Standardmäßig sind das oft 15 oder 30 Minuten, Sie können die Sperrdauer jedoch je nach Ihren Richtlinien anpassen.
- Zähler für Kontosperrungen zurücksetzen nach – nach wie vielen Minuten werden fehlgeschlagene Anmeldeversuche auf null zurückgesetzt. Ideal, um versehentliche Kontosperrungen durch mehrmaliges Falschtippen des Passworts zu vermeiden.
Diese Konfiguration ist für die meisten Benutzer geeignet, es sei denn, sie haben detaillierte Kennwortrichtlinien für bestimmte Gruppen – etwas fortgeschritten, aber nützlich, wenn einige Benutzer unterschiedliche Regeln benötigen. In manchen Umgebungen ist die Standardrichtlinie von 10 Versuchen ein guter Kompromiss; sie hilft, Brute-Force-Angriffe zu verhindern, ist aber für normale Benutzer nicht zu störend. Interessanterweise sperren Azure AD und Entra ID Konten ebenfalls nach 10 fehlgeschlagenen Versuchen, also keine Überraschung.
Lösung 1: Entsperren eines Benutzerkontos über Active Directory-Benutzer und -Computer (ADUC)
Wenn ein Benutzer wiederholt Probleme beim Anmelden hat, ist sein Konto wahrscheinlich in Active Directory gesperrt. In diesem Fall wird bei Anmeldeversuchen eine Meldung wie „ Das angegebene Konto ist derzeit gesperrt und kann nicht verwendet werden. “ angezeigt. Auf manchen Rechnern erscheint beim Anmeldeversuch eine Warnung. In den Ereignisprotokollen können Sie nach IDs wie 4740 (Kontosperrung) oder 4625 (fehlgeschlagene Anmeldung) suchen.
Um die Sperre wieder aufzuheben – ohne in die Protokolle einzutauchen – können Sie Active Directory-Benutzer und -Computer öffnen (über dsa.mscAusführen oder die Eingabeaufforderung) und dann:
- Suchen Sie den Benutzer in der Organisationseinheit (OU) oder dem Container, in dem er sich befindet.
- Klicken Sie mit der rechten Maustaste und wählen Sie „Eigenschaften“.
- Wechseln Sie zur Registerkarte „Konto“. Wenn die Konten gesperrt sind, wird eine Meldung wie „ Konto entsperren. Dieses Konto ist auf diesem Active Directory-Domänencontroller derzeit gesperrt.“ angezeigt.
- Aktivieren Sie das Kontrollkästchen „Konto entsperren“ und klicken Sie auf „OK“.
Der Benutzer kann sich nun wieder anmelden. Bei einer Konfiguration funktionierte es sofort, bei einer anderen dauerte es einige Minuten, bis die Richtlinien wirksam wurden – Windows macht es einem eben manchmal unnötig schwer. Beachten Sie, dass dies normalerweise nur Administratoren können. Sie können die Entsperrberechtigungen jedoch bei Bedarf delegieren.
Lösung 2: Entsperrberechtigungen für Nicht-Administratoren delegieren
Möglicherweise möchten Sie, dass Helpdesk-Mitarbeiter oder andere vertrauenswürdige Benutzer Konten entsperren, ohne ihnen vollständige Administratorrechte zu gewähren. Gehen Sie dazu in Active Directory-Benutzer und -Computer wie folgt vor :
- Klicken Sie mit der rechten Maustaste auf die Organisationseinheit mit den Benutzern und wählen Sie „Steuerung delegieren“.
- Wählen Sie die Gruppe der Benutzer oder des Support-Personals aus (z. B.nyHelpDesk).
- Erstellen Sie eine benutzerdefinierte Aufgabe —> Wählen Sie nur Benutzerobjekte aus.
- Aktivieren Sie das Kontrollkästchen neben „Write lockoutTime“.
- Nach Abschluss des Vorgangs können nun auch Mitglieder dieser Gruppe ihre Konten entsperren.
Das geht deutlich schneller, als auf einen Administrator zu warten, insbesondere bei häufigen Kontosperrungen. Um nachzuverfolgen, wer welche Konten entsperrt, aktivieren Sie die Überwachung der Benutzerkontenverwaltung in der Standard-Domänencontroller-Gruppenrichtlinie.
- Navigieren Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > Kontoverwaltung.
- Aktivieren Sie die Richtlinie „Überwachung der Benutzerkontenverwaltung“.
- Überprüfen Sie das Ereignisprotokoll auf die Ereignis-ID 4767 (Benutzer entsperrt).
- Oder führen Sie einfach diese PowerShell-Anweisung aus, um die letzten Entsperrungen anzuzeigen: Get-WinEvent -FilterHashtable @{logname=’Security‘;id=4767}|ft TimeCreated, Id, Message.
Profi-Tipp: Erhöhen Sie die Größe des Ereignisanzeigeprotokolls, um mehr dieser Ereignisse zu speichern, falls es häufig zu Sperrungen kommt.
Lösung 3: Entsperren mit PowerShell
Wenn Sie mit PowerShell besser vertraut sind – oder einfach einen schnelleren Weg bevorzugen – Unlock-ADAccountist das Cmdlet ideal. Es ist Teil des AD-Moduls in Windows PowerShell, stellen Sie also sicher, dass es installiert und importiert ist.
Prüfen Sie zunächst, ob der Benutzer gesperrt ist:
Get-ADUser -Identity j.brion -Properties LockedOut, DisplayName | Select-Object samaccountName, displayName, LockedOut
Falls das Konto gesperrt ist, entsperren Sie es mit:
Unlock-ADAccount j.brion
Möchten Sie mehr erfahren? Prüfen Sie, wann sie sich zuletzt angemeldet oder ihr Passwort zuletzt geändert haben:
Get-ADUser j.brion -Properties Name, Lockedout, lastLogonTimestamp, lockoutTime, pwdLastSet | Select-Object Name, Lockedout, @{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}}, @{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}}, @{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}
Und wenn Sie alle gesperrten Benutzer gleichzeitig entsperren möchten, führen Sie einfach Folgendes aus:
Search-ADAccount -UsersOnly -lockedout | Unlock-ADAccount
Dadurch werden alle gesperrten Konten sofort freigegeben, was in manchen Fällen eine große Erleichterung sein kann.
Zusammenfassung
Kontosperrungen in den Griff zu bekommen, ist gar nicht so schlimm, wenn man weiß, wo die Richtlinien festgelegt sind und wie man Benutzer manuell oder per Skript entsperrt. Manchmal werden Sperrungen durch ein noch vorhandenes, zwischengespeichertes Passwort oder eine fehlerhafte App verursacht. Prüfen Sie diese Punkte, wenn das Problem wiederholt auftritt. Außerdem erspart die Einrichtung von Delegierung und Benachrichtigungen später viel Ärger. Denken Sie daran: Ein wenig Vorbereitung jetzt kann Ihnen später Stunden an Arbeit ersparen.
Zusammenfassung
- Informieren Sie sich, wo Ihre Kontosperrungsrichtlinien in Active Directory festgelegt sind.
- Nutzen Sie ADUC für schnelle manuelle Entsperrungen – es ist ganz einfach.
- Die Delegation von Entsperrrechten trägt dazu bei, dass Supportteams agil bleiben.
- PowerShell kann den Prozess automatisieren und beschleunigen.
- Überwachen Sie die Audit-Protokolle, um nachzuverfolgen, wer welche Funktionen entsperrt.