Comment automatiser les déverrouillages de compte pour les utilisateurs Active Directory
Le système de verrouillage de compte dans Active Directory est un élément de sécurité. Il existe plusieurs conditions intégrées au système Active Directory qui verrouilleront automatiquement un compte. La plupart d’entre eux concernent mots de passe . Votre politique de sécurité ajoutera d'autres conditions qui créent des verrouillages et une orchestration de systèmes de détection d'intrusion (IDS) peuvent également verrouiller des comptes.
Heureusement, le Administrateur le compte n’est jamais verrouillé – si c’était le cas, vous perdriez complètement le contrôle de votre contrôleur de domaine AD. Ainsi, vous disposerez toujours du système administrateur pour ramener les utilisateurs à leurs comptes.
Vous pouvez déverrouiller un compte individuellement ou manuellement. Il est également possible d'automatiser ce processus de déverrouillage via un PowerShell script ou via un outil d'administration externe à l'environnement Active Directory.
Déverrouiller manuellement un compte utilisateur dans Active Directory
Bien que ce guide concerne uniquement les solutions automatisées pour déverrouiller les comptes d'utilisateurs dans AD, nous examinerons d'abord le processus manuel, juste pour vous montrer que c'est possible. Suivez ces étapes:
- Connectez-vous à AD et accédez à Utilisateurs et ordinateurs .
- Recherchez le compte que vous souhaitez déverrouiller et cliquez avec le bouton droit pendant que le pointeur de la souris se trouve sur cet enregistrement.
- Sélectionner Propriétés dans le menu contextuel.
- Dans l'écran Propriétés, sélectionnez le Compte languette.
- À peu près à mi-chemin de la fenêtre, vous verrez une case à cocher intitulée « Déverrouiller compte. Ce compte est actuellement verrouillé sur ce contrôleur Active Directory ». Cliquez dessus pour cocher la case.
- Cliquer sur Appliquer puis cliquez sur D'ACCORD pour fermer la fenêtre Propriétés.
Déverrouiller un compte utilisateur dans Active Directory à l'aide de PowerShell
La première solution automatisée pour déverrouiller automatiquement un compte dans AD consiste à accéder au système d'exploitation et à utiliser PowerShell. Vous pouvez utiliser ce système pour déverrouiller un seul compte utilisateur ou tous les comptes verrouillés dans un domaine.
Débloquez un seul compte utilisateur avec PowerShell
Voici ce qu’il faut faire pour déverrouiller un compte dans AD à l’aide de PowerShell :
- Taper PowerShell dans le champ Démarrer la recherche. L'application PowerShell vous sera présentée.
- Cliquer sur Exécuter en tant qu'administrateur .
Avec l'environnement PowerShell ouvert, vous pouvez vérifier si un compte est verrouillé avec le code suivant :
|_+_|Remplacer
Pour débloquer ce compte unique, utilisez :
|_+_|Encore une fois, remplacez
Déverrouillez tous les comptes d'utilisateurs verrouillés dans un domaine avec PowerShell
Ouvrez l'interface PowerShell comme décrit dans la section précédente pour enquêter sur les comptes verrouillés et également pour les déverrouiller en masse.
Pour voir quels comptes d'un domaine sont verrouillés, utilisez :
|_+_|Pour débloquer tous les comptes du domaine, utilisez le code suivant :
|_+_|Il se peut que quelque chose se soit produit pour verrouiller plusieurs comptes suspects et, après enquête, vous ayez décidé que certains étaient douteux mais que d'autres avaient été identifiés à tort comme dangereux et devaient être déverrouillés. Dans ce cas, le déverrouillage de tous les comptes verrouillés laisserait entrer la menace. Ainsi, vous pouvez simplement parcourir les comptes d'utilisateurs légitimes et les déverrouiller un par un ou vous pouvez utiliser la commande suivante :
|_+_|Lorsque cette commande s'exécutera, elle vous demandera de confirmer le déverrouillage de chaque compte verrouillé, vous pouvez décider d'en laisser un ou deux dans la liste verrouillés si vous le souhaitez. Empêcher la commande de déverrouiller un compte ne met pas fin au traitement, elle vous offrira le choix de déverrouiller le prochain compte verrouillé rencontré.
Les options que la commande vous propose pour déverrouiller ou non chaque compte verrouillé sont :
- Oui
- Oui à tous
- Non
- Non à tous
- Suspendre
Ainsi, vous pouvez choisir d’abandonner le travail à tout moment. Si vous le faites, la commande n'est pas annulée, ce qui signifie que les comptes que vous avez déverrouillés jusqu'à ce point resteront disponibles pour les utilisateurs.
Outils de gestion automatisés d'Active Directory
Le Active Directory l'interface est un peu maladroite. Bien que la plupart des utilisateurs réguliers s'habituent aux bizarreries du front-end, il existe de nombreux outils de gestion AD disponibles qui facilitent grandement l'administration du système et disposent de bien meilleures consoles.
Cela peut prendre beaucoup de temps pour étudier le marché et identifier certains bons systèmes candidats , nous avons donc dressé une liste des meilleurs systèmes disponibles aujourd’hui.
Voici notre liste des cinq meilleurs outils de déverrouillage automatisé de comptes utilisateur pour Active Directory :
- Assistance à distance Dameware (ESSAI GRATUIT)Un package d'équipe d'assistance qui comprend un utilitaire de déverrouillage de compte. Bénéficiez d'un essai gratuit de 14 jours entièrement fonctionnel.
- ManageEngine ADSelfService Plus Un package centré sur un portail qui permet aux utilisateurs de réinitialiser leurs comptes et il existe également un outil de déverrouillage automatisé pour les techniciens. Il fonctionne sur Windows Server.
- Examinateur de verrouillage de compte Netwrix Un package gratuit qui identifie les comptes verrouillés, explique la raison des blocages et permet le déverrouillage de chaque compte. Il fonctionne sous Windows et Windows Server.
- Boîte à outils AD Pro Un service de déverrouillage qui fait partie d'un ensemble d'outils d'administration système et offre des détails sur chaque verrou. Il fonctionne sous Windows et Windows Server.
- Contrôle de mot de passe WiseDATAman Un petit utilitaire gratuit qui fournit de puissants services d'administration de comptes utilisateurs. Il est disponible pour Windows et Windows Server.
Veuillez noter que ce n'est pas une bonne idée d'automatiser le déverrouillage des comptes d'utilisateurs sur un déclencheur afin que tout compte verrouillé soit instantanément déverrouillé. Le mécanisme de verrouillage est une fonctionnalité de sécurité et si vous disposez d’un outil de défense avec correction automatisée des menaces, ce service aura verrouillé ces comptes pour une raison. Il vaut mieux laisser les comptes verrouillés pendant que vous recherchez la raison.
Que devez-vous rechercher dans un outil de déverrouillage automatisé de compte pour Active Directory ?
Nous avons examiné le marché des outils de déverrouillage de compte et analysé les options en fonction des critères suivants :
- Un choix d'utilitaires de déverrouillage rapide et de systèmes de gestion AD complets.
- Une interface attrayante et facile à utiliser.
- Un outil qui donne le choix de débloquer des comptes individuels, plusieurs ou tous.
- Un système capable d'effectuer d'autres tâches de gestion d'Active Directory avec automatisation.
- Un système facile à installer.
- Un outil gratuit ou un service proposant un essai gratuit ou une démo.
- Un outil qui vous fera gagner du temps et de l'argent, en apportant de la valeur.
À l’aide de cet ensemble de critères, nous avons recherché une gamme de packages de gestion AD incluant des utilitaires de déverrouillage dédiés.
1. Assistance à distance Dameware (ESSAI GRATUIT)
Assistance à distance Dameware est un ensemble complet d'outils destinés aux équipes de support du service informatique et aux fournisseurs de services gérés. Le système comprend des capacités d'accès à distance, de contrôle à distance, de gestion des points finaux et de surveillance du système. Il dispose également d'un utilitaire de déverrouillage de compte pour Active Directory.
Principales caractéristiques:
- Gestion des points de terminaison
- Surveillance du système
- Gestion d'Active Directory
Les fonctionnalités de gestion Active Directory du système incluent un Réinitialisation du mot de passe système ainsi que le déverrouillage de compte utilitaire. L’ensemble du package est un ensemble d’outils d’administration qui peuvent être utilisés par une équipe d’assistance à distance.
Avantages:
- Accès depuis une application mobile ainsi que depuis des ordinateurs de bureau.
- Logiciel sur site.
- Rassemble de nombreux utilitaires sur un seul écran.
Les inconvénients:
- Non disponible en tant que plateforme cloud
Dameware s'installe sur les fenêtres et Serveur Windows et vous pouvez en savoir plus à ce sujet dans notre Examen des opportunités . Le système est disponible pour un essai gratuit de 14 jours.
Dameware Remote Support Téléchargez un essai GRATUIT de 14 jours
deux. ManageEngine ADSelfService Plus
Avec ManageEngine ADSelfService Plus , les techniciens disposent d'un outil pour déverrouiller les comptes et les utilisateurs disposent d'une autre méthode. Le portail libre-service fourni avec ce package est conçu pour réduire les verrouillages dus à Fiabilité du mot de passe en incluant un système de création guidée de mots de passe.
Principales caractéristiques:
- Prévention des erreurs de mot de passe
- Contrôles utilisateur
- Outils de technicien
- Déverrouillage à la demande
- Demandeur de réinitialisation du mot de passe
Le portail libre-service permet aux utilisateurs de réinitialiser leurs mots de passe et comprend un déverrouillage du mot de passe demander un service. Le déverrouillage du compte s'effectue automatiquement, sans intervention d'un technicien. Cela signifie que les verrous restants sont ceux imposés par le système en raison de menaces d'intrusion.
La fonction de déverrouillage basée sur l'administrateur est peut-être un peu risquée car il est possible de configurer le système pour déverrouiller automatiquement comptes verrouillés. Cela pourrait saper les efforts des IPS pour bloquer les intrus.
Avantages:
- Débloquez des comptes individuellement ou en masse.
- Déverrouillage automatisé ou à la demande.
- Portail libre-service pour les utilisateurs.
- Conseils pour la création de mots de passe.
- Réduit les appels au Help Desk.
Les inconvénients:
- Pas de version cloud.
Ce système est un progiciel qui fonctionne sur Serveur Windows . Il existe une version gratuite de ManageEngine ADSelfService Plus. Cela se limite à gérer 50 utilisateurs. Tu peux recevoir un essai gratuit de 30 jours de l'une ou l'autre des deux éditions payantes.
3. Examinateur de verrouillage de compte Netwrix
Examinateur de verrouillage de compte Netwrix propose une fonction de recherche pour identifier tous les comptes verrouillés via son interface utilisateur graphique. Les détails de chaque enregistrement utilisateur dans la liste de verrouillage indiquent la raison du verrouillage ainsi que la ressource à laquelle l'utilisateur a tenté d'accéder. L'outil a également un outil de recherche , qui permet au personnel du service d'assistance de saisir un nom d'utilisateur et de voir l'état de verrouillage de ce compte.
Principales caractéristiques:
- Outil gratuit
- Identifie tous les comptes déverrouillés
- Recherche de compte
- Raison du verrouillage
Avec ce système, les techniciens peuvent également débloquer des comptes. Il n’existe pas de fonctionnalité de déverrouillage automatisé en masse. Cependant, cette installation peut être dangereuse, donc Netwrix sait ce qu'il faisait lorsqu'il a laissé cette option de côté.
Avantages:
- Balayez AD pour tous les comptes déverrouillés.
- Interrogez les statuts d’un seul compte.
- Identifiez la raison du verrouillage.
- Utilitaire de déverrouillage.
Les inconvénients:
- Aucune fonctionnalité de déverrouillage en masse.
Le logiciel pour Netwrix Account Lockout Examiner s'installe sur Windows et Windows Server. Vous pouvez installer le système sur autant de points finaux que vous le souhaitez car il est utilisation gratuite .
4. Boîte à outils AD Pro
Le Boîte à outils AD Pro Le bundle comprend 13 outils pour administrer Active Directory. Parmi ceux-ci se trouve l’outil de déverrouillage des utilisateurs Active Directory. il s'agit d'un package utile et simple qui permet au personnel d'assistance de déverrouiller un compte sans avoir besoin d'un accès complet à Active Directory .
Principales caractéristiques:
- Écran simple à usage unique
- Affiche tous les comptes
- Rechercher des comptes individuels
L'outil prend en charge deux scénarios : une liste de tous les comptes verrouillés et une recherche de nom d'utilisateur. L'écran des détails du compte indique pourquoi le compte a été verrouillé et propose un bouton de déverrouillage rapide. Il s'agit d'une fonctionnalité utile car elle fournit suffisamment d'informations pour permettre au technicien de décider si la serrure a été valide .
Avantages:
- Conseille sur les raisons de verrouillage.
- Fournit des fonctions de recherche de verrous groupés et individuels.
- Disposition simple.
Les inconvénients:
- Facturé, mais presque identique au Netwrix Account Lockout Examiner gratuit.
Le prix de AD Pro Toolkit commence à 199 $ pour seulement neuf des 13 outils et à 299 $ pour l'ensemble complet. Le logiciel fonctionne sur les fenêtres et Serveur Windows .
5. Contrôle de mot de passe WiseDATAman
Contrôle de mot de passe WiseDATAman est un petit utilitaire qui présente un formulaire de recherche d'enregistrements, puis affiche un seul enregistrement correspondant. Bien que ce système ne dispose pas d'écran de liste de comptes verrouillés en masse, sa présentation compacte fournit de nombreux outils dans un petit espace et comprend une option pour débloquer des comptes .
Principales caractéristiques:
- Petite interface
- Affichage mono-utilisateur
- Débloque des comptes
Cet outil remplace le Propriétés fenêtre pour un compte dans le Active Directory système. Cependant, il est très utile car il permet à un technicien du Help Desk un accès limité et contrôlé au système AD.
Avantages:
- Fournit un accès AD limité au personnel du service d’assistance.
- Case à cocher unique pour débloquer un compte.
- Ne prend pas beaucoup de place sur le bureau.
Les inconvénients:
- Aucun écran de liste pour afficher tous les comptes déverrouillés.
Bien qu'il ne s'agisse pas d'un outil automatisé, il évite à l'utilisateur de saisir des commandes PowerShell et il est utilisation gratuite . Le logiciel fonctionne sur les fenêtres et Serveur Windows .