Este post puede servir para identificar quien o que bloquea un usuario de dominio o local.
1. Primero ejecutar el tool EventCombMT.exe
Nota: Los números de eventos de Seguridad de Windows a utilizar pueden consultarse desde esta URL:
http://support.microsoft.com/kb/174074 (Aplica para Windows Server 2003)
http://support.microsoft.com/kb/947226 (Aplica para Windows Server 2008)
*Tener en cuenta que en Windows Vista / Server 2008 / Seven / Server 2012 tienen códigos de eventos de Seguridad diferentes a Windows 2003. Lo bueno es que no se solapan, arrancan de una nuemeración distinta a la que posee 2003.
http://support.microsoft.com/kb/174074 (Aplica para Windows Server 2003)
http://support.microsoft.com/kb/947226 (Aplica para Windows Server 2008)
*Tener en cuenta que en Windows Vista / Server 2008 / Seven / Server 2012 tienen códigos de eventos de Seguridad diferentes a Windows 2003. Lo bueno es que no se solapan, arrancan de una nuemeración distinta a la que posee 2003.
Nota 2: Descarga del EventCombMT en esta URL: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465
Una vez que la herramienta finaliza generará un txt en el directorio %temp%. Una linea de ejemplo es la siguiente:
644,AUDIT SUCCESS,Security,Sat
Sep 03 07:07:48 2011,NT AUTHORITY\SYSTEM,User Account Locked
Out: Target Account Name: usuario1 Target Account ID:
%{S-1-5-21-3880413253-2914564469-1958111818-20410}
Caller Machine Name: server1 Caller User Name:
DCServer$ Caller Domain:
contoso Caller Logon ID: (0x0,0x3E7)
- El usuario tiene tareas en ejecución logeado (desde un cmd TASKLIST /FI "USERNAME ne usuario1")
- Existen procesos que corren con este usuario (services.msc)
- Existen tareas programadas (taskschd.msc)
3. Si con el paso anterior no encontramos que es lo que bloquea al usuario, analicemos el EventId: 529 para determinar que proceso bloquea el usuario.
En este caso vemos que el usuario se bloquea desde el
Process ID 2592, que corresponde al servicio de Reporting Services
No hay comentarios.:
Publicar un comentario