" title="IT技术博客 - 云计算大数据-技术分享


0

查询被锁定的AD账号的一些信息

编辑:./ 栏目:Windows系统 /发布于:2021年-9月-2日

本文转载自https://blog.51cto.com/itsoul/2062819
向51CTO博主 IT圈老男孩 致谢!

微软在早期发布过一款工具,这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端,这款工具叫做:Lockoutstatus

Lockoutstatus下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=15201

  • 今天简单给大家介绍下如何利用这款工具逆向追踪到锁定的客户端的。废话不多说,首先我们下载Lockoutstatus,并拷贝到任意一台域控服务器上,安装我就不过多介绍了,其实就是一路下一步,但需要大家记住的是下面这个截图,也就是您的安装路径,因为一会安装完成后需要到这个路径下找到安装完成的应用程序,程序自身不会创建快捷方式。

点击查看原图

  • 为了演示,我随便使一个账号锁定,如图所示:

点击查看原图

  • 点击文件选项File,选择目标Select Target

点击查看原图

  • 扫描完成后,你可以找到很多账号锁定信息,包括DC名,站点,账号状态,错误密码计数器,和最后一次错误密码时间。(由于我这是测试环境,只有一台AD,真实环境会有很多,一定要找那个最后一次错误密码时间)

点击查看原图

  • 登录后打开事件查看器,选择安全日志(如果时间长了的话,可以找日志备份)

点击查看原图

  • 根据刚才工具提示,我的测试账号是在13:22:10锁定的,所以我就找这个时间的日志。

点击查看原图

  • 其实到这里还算结束,其实我们是可以看到最后一次登录这台(EXSRV01)电脑的用户是谁。

  • 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。

get-wmiobject -computername 计算机名称 win32_computersystem | format-list username

点击查看原图

  • 系统最终查询出的账号是 ITSoul\Administrator

  • 也就是说,目前这台名为EXSRV01的客户机是域用户Administrator正在使用。

亲们剩下的就是你们可以指着用户的鼻子质问他了。

本文由“IT技术博客 - 云计算大数据-技术分享 > .”整理编辑。


未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。

如果喜欢这篇文章,欢迎订阅IT技术博客 - 云计算大数据-技术分享以获得最新内容。

已经有 0 条群众意见