U heeft een onderzoek (penetratietest) laten uitvoeren, maar ondanks alle inspanningen om geen accounts te vergrendelen en daarmee de productie te verstoren, kan het onverhoopt toch voorkomen dat er één of meerdere accounts vergrendeld raken. Middels deze instructie willen wij u ondersteunen om dit proces van het ontgrendelen zo eenvoudig mogelijk te maken.
Allereerst is het belangrijk om te weten dat het vergrendelen van accounts een automatische veiligheidsmaatregel is die in werking treedt wanneer er ongebruikelijke activiteiten worden gedetecteerd. Dit is een essentieel onderdeel van de beveiliging van uw systemen en gegevens. Hoewel dit tijdens een penetratietest voor enige overlast kan zorgen, dient het een groter doel in het beschermen van uw organisatie tegen kwaadwillende actoren.
Als een account vergrendeld is, kunt u de volgende stappen volgen om de accounts te ontgrendelen. Er is een tweetal benodigdheden om de benodigde commando’s uit te voeren:
- Domein Administrator account;
- De mogelijkheid om PowerShell op de Domain Controller uit te voeren. Het beste is om dit via RDP te doen om het overzichtelijker te maken.
Vind de geblokkeerde accounts binnen de omgeving:
Search-ADAccount -LockedoutVoor een compactere weergave, gebruik het volgende commando:
Search-ADAccount -Lockedout | select-object Name, SamAccountNameMicrosoft built-in cmdlet om één account te deblokkeren
Unlock-ADAccount -Identity RdeVriesHierbij is -Identity de SAM accountnaam is van de gebruiker welke gedeblokkeerd moet worden. Als het nodig is om een extra bvestiging te krijgen, voeg dan de parameter -Confirm toe aan het commando om een bevestigingpop-up te krijgen bij het uitvoeren van het commando.
Alle geblokkeerde accounts ontgrendelen:
Search-ADAccount -Lockedout | Unlock-ADAccountDit commando zal iedere geblokkeerde ADAccount deblokkeren zonder enige bevestiging. Om te zien of het definitief gelukt is, voer het volgende commando uit:
Search-ADAccount -Lockedout | select-object Name, SamAccountName