10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

WindowServer
El blog de los paso a paso

REPORT THIS AD

Inicio Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo

Cuando en un ambiente de Dominio Active Directory se implementa una directiva
Buscar en el Blog con de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea
Google sin que el usuario haya puesto mal la contraseña al iniciar sesión

Buscar Los motivos suelen ser variados, aunque generalmente se deben a que el usuario
cambió su contraseña, pero quedaron conexiones de red que estaban hechas
recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios
Buscar en el blog con que se ejectuan con la cuenta de usuario
Wordpress
Cuando esto sucede es importante identificar la causa, y para eso debemos
Buscar buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para
poder identificar desde qué máquina cliente se produjo el bloqueo

Categorías Si en la red hubiera un único Controlador de Dominio el tema sería muy fácil ya
que es la única ubicación donde se generará el evento, pero si como es habitual
Elegir categoría existen más de un Controlador de Dominio, la búsqueda del evento hay que
hacerla en cada uno de ellos
Archivos por mes Si son pocos no tendremos problemas, pero si son varios y queremos ahorrar
Elegir mes tiempo hay una “vieja utilidad” del Kit de Recursos de Windows Server 2003 que
funciona perfectamente aún en Windows Server 2012 R2

Seguir el blog La podemos descargar desde:

Ingrese su correo para ser Download Account Lockout Status (LockoutStatus.exe) from Official Microsoft
Download Center:
avisado de nuevas notas https://www.microsoft.com/en-us/download/details.aspx?id=15201
Introduce tu email Es un archivo MSI el cual podemos instalar en cualquier Controlador de Dominio, y
que nos permitirá encontrar en cuál Controlador de Dominio se originó el bloqueo;
Avisarme esto es importante ya que en el mismo es donde quedará el evento que
necesitamos buscar

Entradas y Páginas No voy a mostrar el proceso de instalación, porque es simplemente siguiente…

Populares siguiente y aceptando la licencia y la carpeta por omisión

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 1/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

Solución: Las Máquinas que se Para esta nota utilizaré tres máquinas virtuales de la misma infraestructura que
Salen del Dominio utilizo siempre en las notas:
Active Directory: Verificar la
DC1.ad.guillermod.com.ar: Controlador de Dominio
Replicación de Controladores de
DC2.ad.guillermod.com.ar: Controlador de Dominio
Dominio (Repost)
CL1.ad.guillermod.com.ar: Cliente del Dominio REPORT THIS AD
Configurar Imagen de Fondo de
Escritorio y Pantalla de Bloqueo He creado un usuario de prueba llamado U1 (“User Uno”), y he editado la “Default
Windows Server 2012 (R2): Crear Domain Policy” incluyendo la configuración de bloqueo de cuentas, como muestra
un Dominio - Instalación del Primer la siguiente figura
Controlador de Dominio
Windows Server 2012: Remote
Desktop - Quick Start (Parte 1)
Windows Server 2012 R2:
Activación Automática de Máquinas
Virtuales (AVMA - Automatic Virtual
Machine Activation)
Asignar a Usuarios Fondo de
Pantalla
Bloqueo de Cuentas de Usuario:
Cómo Ayudar a Solucionarlo
Descubriendo el Misterio de la
Carpeta WinSxs
Directivas de Grupo (GPO) -
Herencia, Forzado y Resolución de
Conflictos

Más recientes
Uso de Máquinas Virtuales en
el Hogar
Windows Server 2016 – Agregar o
Cambiar Idioma
DNS – Dominios y la Zona “_msdcs”
Hyper-V Server 2016 Gratis – Luego desde CL1 intenté el incio de sesión con la cuenta U1, pero poniendo mal la
Administración Gráfica Remota del contraseña, hasta que el sistema avisa que la cuenta se ha bloqueado
Servidor en Grupo de Trabajo
Hyper-V Server 2016 Gratis –
Administración Gráfica Remota de
Hyper-V en Grupo de Trabajo

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 2/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

MCSA

REPORT THIS AD

MCITP

Podemos inclusive verificarlo en las propiedades de la cuenta de usuario

Desde

Participación en Foros
Microsoft Technet

Blogs y sitios
recomendados

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 3/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

El Deza – Infraestructura de Redes

Proteger Mi PC
Tectimes – Un blog de tecnología
Universidad Net

REPORT THIS AD

Iniciar sesión
Registrarse
Acceder
RSS de las entradas
RSS de los comentarios
WordPress.com

Blog Stats
5.576.779 hits

Entonces lo primero que debemos hacer es ejecutar LOCKOUTSTATUS.EXE para

identificar cuál Controlador de Dominio fue el que bloqueó la cuenta

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 4/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

Ingresamos el nombre de la cuenta bloqueada

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 5/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

En el listado resultante nos mostrará en qué Controladores de Dominio la cuenta

ya está bloqueada. Pero lo importante es ver cuál es el “Orig Lock”, ya que éste es
el Controlador de Dominio que ejecutó el bloqueo, y donde deberemos buscar el
evento que nos dirá desde qué máquina cliente se produjo

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 6/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

En este caso vemos que fue DC1, y por lo tanto deberemos buscar el evento en el
“Log Security” de DC1, filtrando para que sea más fácil de hallar

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 7/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

El número de evento es 4740

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 8/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

Como podemos observar, el bloqueo se produjo por acceso incorrecto desde la

máquina CL1

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 9/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

REPORT THIS AD

Conociendo desde qué máquina de la red se produjo el bloqueo, ya tenemos el

dato principal para identificar el problema

Al comienzo mencioné, conexiones de red o servicios, pero nunca se debe

descartar que no haya un usuario malicioso ;)

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 10/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

Anuncios

REPORT THIS AD

REPORT THIS AD

Tu voto:

6 Votes
Compártelo

 LinkedIn  Twitter  Correo electrónico  Imprimir

Me gusta

Sé el primero en decir que te gusta.

Relacionado

Actualizar Dominio Windows Server 2012 – Eliminar un Controlador

Windows 2003 a Fine-grained Passwords de Dominio Que Ya No
Windows Server 2012 and Account Lockout Existe (Fácil)
R2 Policy En "Active Directory -
En "Active Directory - En "Active Directory - Directorio Activo"
Directorio Activo" Directorio Activo"

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 11/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

By Guillermo Delprato, on 24/05/2016 at 06:11, under Active Directory - Directorio Activo,

Administración, How To - Step-by-step - Paso a paso, Seguridad, Windows Server, Windows
Server 2012, Windows Server 2012 R2. Etiquetas: Active Directory - Directorio Activo,
Administración, How To - Step-by-step - Paso a paso, Seguridad, windows server, Windows
Server 2012, Windows Server 2012 R2. 12 comentarios
Publica un comentario o deja una referencia: URL de laREPORT
referencia.
THIS AD

« Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas

BGInfo – Mostrar Información en el Escritorio (GPO) »

Comentarios

Mario Contreras El 04/06/2016 a las 22:19 Permalink | Responder

En la mayoría de los escenarios, encontrar el origen puede ser más simple. El

PDC emulator siempre tiene que registrar el account lockout, por ello podríamos
omitir la búsqueda en todos los DCs e ir directo al PDC emulator para consultar
los eventos 4740 con texto que incluya el samAccountName que estamos
buscando.
Para buscar de forma sencilla podríamos usar EventCombMT (nada más que no
usen los IDs sugeridos ya que esos son para Windows 2003 y anteriores) o usar
un script de PowerShell.
Referencias:
PDC Emulator Role:
https://msdn.microsoft.com/en-us/library/cc223752.aspx
Account Lockout:
https://technet.microsoft.com/en-us/library/cc780271(v=ws.10).aspx
PowerShell script for finding account lockout origin:
https://blogs.technet.microsoft.com/heyscriptingguy/2012/12/27/use-powershell-
to-find-the-location-of-a-locked-out-user/

Guillermo Delprato El 06/06/2016 a las 08:22 Permalink | Responder

Hola Mario, no las considero las más simples aunque provean el mismo
resultado. Básicamente hay dos motivos, una porque no todos los
administradores están familiarizados aún con PowerShell, y la otra porque tú
mismo lo dices, sugiere eventos que no corresponden a la versión actual del
sistema operativo. La que he puesto en la nota, tampoco la hice pensando en
la más simple, sino que sólo es una posibilidad que me pareció buena difundir
Y con respecto a que siempre es el Emulador PDC es quien hace el bloqueo,
https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 12/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

considero también que es importante tener la información sobre a qué otros

DCs ya se ha replicado la información, entiendo que conoces el tema de las
demoras en la replicación entre Sites

Hector Manolo Acosta Berroa El 29/11/2016 a las 01:06 Permalink | Responder

REPORT THIS AD

Hola como esta..

A mi me esta sucediendo el bloqueo constantemente, cuando voy al event viewer
filtro el evento y coloco el event id 4740 para saber donde esta bloqueado y me
aparece el servidor que esta bloqueado me y todo. En ese servidor elimino toda
mi credenciales ya sea via terminal, y no tengo credenciales colocada en algún
servicio de ahí. Pero aun me sigue bloqueado, ya se me siento un poco cansado
con esta situación si tiene alguna idea o algo que me pueda ayudar te lo
agradeceré.

Guillermo Delprato El 29/11/2016 a las 08:02 Permalink | Responder

Hola Hector, lo importante no es dónde se está bloqueando sino “desde

dónde”, desde qué máquina o máquinas se produce el acceso que produce el
bloqueo
Yo no tengo forma de conocer tu infraestructura, pero te paso alguna idea
para que puedas investigar
Una posibilidad es con el comando “NET SESSION” en los servidores que
comparten recursos puedes ver las conexiones
Y dependiendo la versión del sistema operativo que tengas, hay un
componente que se puede agregar y lista las sesiones “Share and Storage
Management”
Recuerda que estas son comentarios sobre la nota. Si no puedes solucinarlo
con lo anterior, recurre a un foro de soporte, por ejemplo los de Technet en
https://social.technet.microsoft.com/Forums/es-ES/home
Y te recomiendo que des más datos, para que alguien pueda ayudarte

Ricardo El 11/04/2017 a las 16:07 Permalink | Responder

Hola ; que tal, estoy teniendo este mismo inconveniete y eh podido dar con el
equipo que bloquea la cuenta, pero no se que aplicacion esta bloqueando la
cuenta, teniendo en cuenta cuenta con una politica de que al tercer intento se
bloquea por error. si no es por el usuario , quisiera saber que aplicacion
bloquea… gracias

Guillermo Delprato El 12/04/2017 a las 07:47 Permalink | Responder

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 13/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

Hola Ricardo, lo que bloquea una cuenta no es una aplicación en sí, sino que
es una conexión a un recurso compartido. Lo más que se puede sacar, tal
como muestra la nota es desde qué máquina, y luego lo que toca es revisar
en esa máquina qué es lo que intenta conectarse

REPORT THIS AD

Nathaly El 21/12/2017 a las 18:48 Permalink | Responder

A mi me esta pasando lo mismo se que pc es la que se bloquea pero no se por

que, me podrian decir como puedo saber que es lo que esta intentando
conectarse

Guillermo Delprato El 21/12/2017 a las 19:07 Permalink | Responder

Nathaly, estos comentarios son sobre la nota, no son para soporte, sólo
oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de
Technet en https://social.technet.microsoft.com/Forums/es-ES/home

United El 30/05/2018 a las 11:51 Permalink | Responder

Hola Guillermo, un placetr saludarte ¿Sabes si existe alguna forma de bloquear

una cuenta indefinitamente, hasta que intervenga un administrador, tras haberse
bloqueado x veces automaticamente?
Es decir, si por ejemplo la cuenta x se bloquea más de 5 veces en menos de 24
horas se bloqueará indefinidamente hasta que intervenga un administrador?

Guillermo Delprato El 30/05/2018 a las 13:06 Permalink | Responder

No que yo sepa. O se bloquea por X cantidad de tiempo o indefinidamente

hasta que alguien con los privilegios suficientes la desbloquee

luisandrescardozoacosta El 08/10/2018 a las 11:23 Permalink | Responder

Hola, Buen día. Verifique en el visor de eventos cual es el equipo que hace la
llamada de bloqueo. Y aparece el mismos controlador de dominio. En este caso
que se puede hacer?…

Guillermo Delprato El 08/10/2018 a las 12:09 Permalink | Responder

Hola, igual que en todos los casos nombrados, hay que ver qué servicio o
conexión con contraseña almacenada está tratando de hacer la conexión

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 14/15
10/7/2019 Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo | WindowServer

Este espacio es para comentarios sobre la nota. No es un sitio de

soporte REPORT THIS AD

Introduce aquí tu comentario...

This site uses Akismet to reduce spam. Learn how your comment data is
processed.

Crea un blog o un sitio web gratuitos con WordPress.com. | .

https://windowserver.wordpress.com/2016/05/24/bloqueo-de-cuentas-de-usuario-cmo-ayudar-a-solucionarlo/ 15/15