Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
So prüfen Sie, ob ein AD-Konto gesperrt ist
Die Richtlinie zur Kontosperrung in der Gruppenrichtlinie von Active Directory legt die Anzahl der fehlgeschlagenen Anmeldeversuche fest, bevor ein Benutzerkonto gesperrt wird. Sobald das Konto gesperrt ist, kann es nicht mehr verwendet werden (auch nicht mit dem korrekten Kennwort), bis die Dauer der Kontosperre abgelaufen ist oder bis ein Administrator das Konto manuell entsperrt. Hier kommen Sie ins Spiel.
Die Kontosperrungsrichtlinie hält Cyberkriminelle davon ab, Brute-Force-Angriffe auf Active Directory-Konten durchzuführen, aber diese Funktion kann einem Systemadministrator und dem IT-Team große Kopfschmerzen bereiten, wenn ein ungeduldiger Endbenutzer nach einem Workaround sucht.
Unten sehen Sie ein Beispiel dafür, was ein Endbenutzer sieht, wenn er sich im ALP-Lockout-Fegefeuer befindet.

Wie können Administratoren überprüfen, ob ein Active Directory-Konto gesperrt ist? Navigieren Sie in ADUC zu den Eigenschaften des Benutzers und dann zur Registerkarte Konto. Wenn ein Konto gesperrt ist, wird die folgende Meldung angezeigt:
- Unlock account. This account is currently locked out on this Active Directory Domain Controller (Konto entsperren. Dieses Konto ist derzeit auf diesem Active Directory Domain Controller gesperrt.)

Administratoren können auch PowerShell verwenden, um ein Active Directory-Konto abzufragen und seinen Status zu überprüfen. Sie können Folgendes auf einem Domänencontroller verwenden, um die Eigenschaften eines Benutzerkontos zu überprüfen.
Import-Module ActiveDirectory
get-aduser -identity testuser -properties * | select accountexpirationdate, accountexpires, accountlockouttime, badlogoncount, padpwdcount, lastbadpasswordattempt, lastlogondate, lockedout, passwordexpired, passwordlastset, pwdlastset | format-list

Active Directory-Benutzerkonten entsperren
Das Entsperren eines Kontos ist ganz einfach. Standardmäßig gibt es zwei Möglichkeiten, wie ein Konto entsperrt werden kann. Entweder muss der Administrator eingreifen, oder es muss abgewartet werden, bis die Sperrfrist für das Konto abgelaufen ist.
Ein Administrator kann das Benutzerkonto entweder über die ADUC-GUI oder über die PowerShell entsperren. Schauen wir uns kurz beide Möglichkeiten an.
Mit dem ADUC-Snap-In kann ein Administrator ein Häkchen in das Kästchen neben dem Feld „Unlock account“ setzen. „This account is currently locked out on this Active Directory Domain Controller“ (Dieses Konto ist derzeit auf diesem Active Directory Domain Controller gesperrt.)
Dies lässt sich auch leicht mit PowerShell bewerkstelligen. Administratoren können das folgende PowerShell-Cmdlet verwenden:
Unlock-ADAccount

Die Sperrung mit Self-Service-Lösungen aufheben
Da viele Unternehmen Remote-Mitarbeiter unterstützen, sind Self-Service-Workflows für Endbenutzer von großem Nutzen. Self-Service-Lösungen sparen der IT-Abteilung Zeit und Geld, indem sie die Zahl der Helpdesk-Tickets reduzieren und die Benutzer dazu veranlassen, die Verantwortung für die Sicherheit und Aktualisierung ihrer Passwörter selbst zu übernehmen. Telearbeit kann in letzter Zeit das Problem der gecachten Credentials verschärfen, was zu mehr Sperrungen und mehr Anrufen beim Helpdesk führt. Zuverlässige Self-Service-Optionen reduzieren diese Belastung für Ihren Helpdesk.
Specops uReset ist eine großartige Self-Service-Option, die es Endbenutzern ermöglicht, alltägliche Aufgaben im Zusammenhang mit der Passwort- und Kontoverwaltung in Active Directory durchzuführen.
Specops uReset ist eine Self-Service-Lösung, die es den Benutzern ermöglicht, ihre Active Directory-Passwörter sicher zurückzusetzen. Endbenutzer können den Passwort-Rücksetzungsprozess von jedem Browser, ihrem mobilen Gerät oder direkt vom Windows-Anmeldebildschirm auf ihren Workstations aus initiieren. Specops uReset kann einen Endbenutzer benachrichtigen, wenn er ausgesperrt ist, und dabei helfen, das Konto ohne manuelle Admin-Korrektur zu entsperren, was Ihnen eine Menge Zeit und Tickets spart. Mit einer Self-Service-Lösung wie Specops uReset müssen Sie ein gesperrtes Konto nicht identifizieren oder lösen, sondern der Benutzer kann dies selbst tun.
Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung und Geo-Blocking sorgen dafür, dass die Specops uReset Passwort-Reset-Lösung mit dem hohen Sicherheitsniveau übereinstimmt, das Sie von Ihren Verwaltungssystemen erwarten.
Sie können mehr über Specops uReset erfahren und es kostenlos testen.
(Zuletzt aktualisiert am 28/08/2023)