안녕하세요.
AD 사용자 공용PC 사용 중 (계정 1개로 여러대의 공용PC 사용)
어제 패스워드 기간 만료로 패스워드 변경 함
그리고, 나서 오늘 pc 윈도우 로그인시 암호를 1회 입력 했는데 계정이 잠겼다고 나온다고 함
(암호 잠김 정책은 암호 5번 틀렸을때 잠김)
그래서 해당 하는 계정의 각각의 공용pc에서 이벤트 로그 확인 했을때는 오늘 날짜로는
잘못된 패스워드 5회 입력으로 인하여 잠긴 내역은 없고, 계정이 잠겨 있다는 내역은 존재함
사용자는 1회만 입력 했는데 왜 잠겼냐고 따지는 상황 이신데
실제로도 5회 잘못 입력한 기록은 없습니다.
그리고, 계정에 잠겨져 있는 상태인데
이벤트 뷰어에서 확인 했을때
잠겨져 있던 시간때에 로그인이 됐다고 나오는데요.
로그인 유형들이 아래 처럼 3개의 유형이 나오는데...
이게 사용자가 실제로 로그인 성공한건 아닌거 같습니다.
그래서 아래의 3가지 로그인 유형을 확인해 보니깐 적은 내용대로 나오는데 저렇게 간단하게만 나와서 실제로 PC에서 어떤걸 확인 했을때
로그인 유형5, 3, 2를 확인 할수 있을까요?
그냥 저런식으로만 나와 있어서 사용자에게 실제로 설명을 할 수가 없습니다.
로그인 유형 5, 3, 2에 대해서 자세히 설명 부탁 드려도 될까요?
어제 비밀번호 변경 전에 로그인 유형 5, 3, 2 중에서 해당 되는걸로 기존 암호로 로그인이 되어 있어서 그런것 같기도 한데
이걸 실제로 눈으로 확인을 시켜줄 방법이 있을까요?
로그인 유형 : 5
서비스가 실행될때 미리 설정된 계정 정보로 로그인
로그인 유형 : 3
네트워크를 통한 원격 로그인
로그인 유형 : 2
콘솔에서 키보드 로그인
감사합니다.
1. 공용PC1
계정이 잠겨 있던 시간대에 로그온 기록만 있음 이벤트ID: 4625 미존재
이벤트ID: 4624
로그인 유형 : 5
서비스가 실행될때 미리 설정된 계정 정보로 로그인
로그인 유형 : 3
네트워크를 통한 원격 로그인
2. 공용PC2
이벤트ID: 4625
계정이 잠겨 있습니다.
로그인 유형:2
콘솔에서 키보드 로그인
3. 공용PC3
계정이 잠겨 있던 시간대에 로그온 기록만 있음 이벤트ID: 4625 미존재
이벤트ID: 4624
계정이 잠겨 있던 시간대에 로그온 기록만 있음
로그인 유형:5
서비스가 실행될때 미리 설정된 계정 정보로 로그인
로그인 유형:3
네트워크를 통한 원격 로그인
4. 공용PC4
이벤트ID: 4625
계정이 잠겨 있습니다.
로그인 유형 : 2
콘솔에서 키보드 로그인
이벤트ID: 4624
로그인 유형:5
서비스가 실행될때 미리 설정된 계정 정보로 로그인
로그인 유형:3
네트워크를 통한 원격 로그인
7개의 답변이 있습니다.
시스템은 의외로 솔직합니다. 단지 우리가 그 솔직함을 인간이 믿지 못하는 경우가 많다고 생각됩니다.
공용 PC를 사용함에 있어.. 비번 변경전 로그인 세션이 어딘가 남아 있거나 .. 여러번 여러곳에서 실패해서 생하는 것으로 추측 됩니다. (물론 사용자는 억울해 하며 인정하지 않겠지만..)
어찌든.. 이를 사용자에게 모두 설명하는 것 자체가 무리라고 생각합니다.
전산어려워요 | 5달 전
네, 그러게요 ㅎ 답변 감사드립니다. 정보보호팀 요청으로 잠김해제 전에 기안을 받아야 하는데 사용자는 5번 틀린적이 없다며 기안을 안써주겠다고해서요. ㅎ
좀 다른 방향성의 얘기인데..
이걸 사용자에게 다 설명할수는 없을것 같아요.(과도하게 비효율적)
제 경험상 시스템은 거짓말을 하지 않지만.. 사람은 거짓말이나 착각을 쉽게 합니다.
패스워드를 변경하고 발생한거면. 사실 뻔한거고..
제가 볼때는 잠긴게 문제가 아니라.. 잠긴거를 가지고 따지는 상황이 문제가 있는 상황으로 보이네요.
계정이 잠겼으니 비번 변경하고 잠김을 풀어주고 같은 사례가 정말 많이 발생한다면 그때 추적해도 늦지 않다고 생각되네요.
전산어려워요 | 5달 전
네 ㅎ 맞습니다. 정보보호팀 요청으로 잠김해제 해드리면 기안을 받아야 하는데 사용자 분들이 본인은 5번 툴린적이 없는데 왜 기안을 쏘야 하냐며 뭐라고 하시는 분들이 계셔서요.
저도 간혹 저런 경우를 확인해서 분명히 AD 서버에서 확인해 보시면 패스워드 5번 틀려서
계정 잠긴 걸로 나올거에요 이벤트 로그로는 확인이 어렵고 AD 관리센터에서 확인 가능합니다.
사용자 말로는 1번 밖에 안틀렸다고 하는데 여러번 틀린 걸로 나오는 게 명확하게 파악이 안되네요
사용자가 패스워드 1번 밖에 안틀린 건지 아니면 다른 사용자가 원격으로 접속을 시도한 건지 등등
그런 내용들이 명확하게 볼 수 있는 방법이 없으니깐요
전산어려워요 | 5달 전
아하, 그렇군요.
Ad관리센터에서 한번 확인해 보겠습니다. 감사합니다.
AD 계정 잠김은 사용자가 직접 로그인하는 경우도 있지만
네트워크 드라이드, 네트워크 프린터, 그리고 일부 프로그램이나 서비스에서
로그인 하는 간접적으로 로그인하는 경우도 로그인 시도로 봅니다.
특히, 패스워드 변경하고 난 뒤에는 기존 저장된 패스워드로 이런 간접적인 로그인시도로
계정 잠김 현상이 많이 발생합니다.
계정 연결 사용하는 네트워크 드라이브, 서비스 등도 체크해보세요.
전산어려워요 | 5달 전
네 ㅎ 그렇군요. 다음에 한번 확인해 봐야겠네요.
설명 감사드립니다.
로그인 유형 5, 3, 2에 대해서 사용자 친화적으로 ^^ 설명한다면,
(유형 5) 서비스 로그온 : 바이러스 백신이나 백업 서비스와 같은 백그라운드 서비스나 프로그램이 시작되고 로그인이 필요한 경우 이 이벤트 유형이 기록됩니다.
(유형 3) 네트워크 로그온 : 네트워크의 파일이나 프린터에 액세스할 때 이 이벤트 유형이 기록됩니다. 이는 다른 컴퓨터에 있는 리소스를 사용하기 위해 로그인하는 것과 같습니다.
(유형 2) 대화형 로그온 : 컴퓨터에 직접 로그인하거나 원격 데스크톱과 같은 도구를 사용하여 원격으로 연결하면 이 이벤트 유형이 기록됩니다.
이하 추가적인 유형은 참고하세요. 살이되고 피가되는 짤막한 지식 ^^
(유형 4) 일괄 로그온 : 특정 작업이나 서비스가 특정 시간에 백그라운드에서 자동으로 실행되어야 하는 경우가 있습니다. 이 이벤트 유형은 자동화된 작업이 시작될 때 기록됩니다.
(유형 7) 로그온 잠금 해제 : 컴퓨터를 잠갔다가 완전히 로그아웃하지 않고 돌아와서 잠금을 해제하면 이 이벤트 유형이 기록됩니다.
(유형 8) 네트워크 일반 텍스트 로그온 : 일부 오래된 네트워크 프로토콜은 덜 안전한 방식으로 로그인 정보를 전송합니다. 이 이벤트 유형은 덜 안전한 방법을 사용할 때 발생할 수 있습니다.
(유형 9) 새 자격 증명 : 어떤 경우에 명시적으로 로그인하지 않고 특정 프로세스에서 자격 증명을 사용해야 할 수도 있습니다. 이 이벤트 유형은 그러한 경우에 기록됩니다.
참고로, 사용자는 일반적으로 유형2나 유형3 이벤트를 접하는 경우가 대부분입니다.
전산어려워요 | 5달 전
와우 ! 자세한 설명 정말 감사드립니다. 유형에 대해서 자세히 안나와서 궁금 했었는데
답변 너무 감사드립니다. 참고하겠습니다.
하나의 계정을 여러 공융 PC에서 사용하다 보면 이런 문제가 발생할 수 있다고 봅니다.
한 PC에서 비밀번호를 변경하고, 다른 곳에서는 이미 로그인이 되어 있고,
이런 것이 자주 말하게 되는 꼬이게 되는 원인을 제공하게 되는 거죠...
한 PC에서 하나의 계정으로 사용하게끔 하세요~~~
전산어려워요 | 5달 전
네 그러게요. 하나의 계정으로 사용하다보니 더 그런 것 같아요. 저도 그러고 싶은데...
정보보호팀이 따로 있고,
저는 파견 상주 근무라서... 그럴 권한이 없네요. ㅜㅜ
한개 계정을 여러 사람이 공용으로 함께 사용하고 있는 건 아닐까 하는 느낌이 드는데요.
가급적 계정은 각 사용자마다 다른 ID를 사용하도록 하는 것이 좋을 걸로 보여 지고요.
AD 계정 잠김 문제로 이전에도 유사 질문이 올라 온 적 있어 참고하면 도움이 될 수 있을 것 같아 보이네요.
아래 링크 질문과 답변도 참고해 보실 것을 권해 드립니다.
https://www.sharedit.co.kr/qnaboards/26015
wansoo | 5달 전
잘못된 패스워드를 몇번 로그인 시도했는지 하는 정보는...
Get-ADUser -Identity 계정ID -Properties badpwdcount | select-object -expandproperty badpwdcount
와 같이 명령을 줘서 확인해 볼 수 있겠지만...
계정에 로그인하지 않은 상태에서 확인해 보려 한다면...
스케줄러 등으로 일정 주기로 암호 실패 회수 정보를 수집하게 만들어서 네트워크 상의 공유 폴더에 있는 파일에다 정보를 담게 만들어서 체크해 볼 수 있는 방법을 찾아 보아야 하지 않을까 싶어 보이네요.
Get-ADUser 명령에 대해서는 아래 링크 자료를 참조하면 도움이 될 수 있을 것 같네요.
https://www.commandline.ninja/get-aduser-syntax-and-examples/#getallpropertiesforauser
전산어려워요 | 5달 전
네, 맞습니다.
하나의 계정으로 여려명이 사용 하시더라고요. ㅎ
앗 친절하게 링크 까지 참고ㅠ하겠습니다.
감사드립니다.