Задача
Разобрать и решить типовую ситуацию: Учетная запись AD постоянно блокируется. Инструкция написана как рабочий чек-лист для администратора: от быстрой первичной проверки до подтверждения, что проблема устранена.
Когда применять
Используйте материал, когда симптом повторяется у пользователя, сервера или сервиса, а причина пока не очевидна. Не начинайте с переустановки и радикальных действий — сначала соберите факты.
Первичная диагностика
- Уточните масштаб: проблема у одного пользователя, группы, отдела или у всех.
- Проверьте время появления: после обновления, перезагрузки, смены пароля, изменения сети или политики.
- Проверьте базовые зависимости: сеть, DNS, права доступа, свободное место, состояние службы.
- Посмотрите журналы: Windows Event Viewer, journalctl, логи приложения, логи firewall/VPN.
- Зафиксируйте исходное состояние перед изменениями: скриншот, экспорт настроек, бэкап конфигурации.
Команды, которые пригодятся
| Команда | Что делает |
|---|---|
Get-ADUser -Filter * |
Показывает пользователей Active Directory. Нужен модуль RSAT ActiveDirectory. |
Get-ADUser user -Properties * |
Показывает подробные свойства пользователя. |
Unlock-ADAccount user |
Разблокирует учетную запись AD. |
Set-ADAccountPassword user -Reset |
Сбрасывает пароль пользователю. |
Get-ADGroupMember "Domain Admins" |
Показывает членов критичной группы. |
Get-ADComputer -Filter * |
Показывает компьютеры домена. |
dcdiag |
Диагностика состояния контроллера домена. |
repadmin /replsummary |
Краткая проверка репликации между DC. |
repadmin /showrepl |
Подробная проверка репликации конкретного DC. |
netdom query fsmo |
Показывает владельцев FSMO-ролей. |
gpupdate /force |
Принудительное обновление GPO на клиенте. |
gpresult /h report.html |
Создает HTML-отчет по примененным политикам. |
Быстрые команды для копирования
Get-ADUser -Filter *
Get-ADUser user -Properties *
Unlock-ADAccount user
Set-ADAccountPassword user -Reset
Get-ADGroupMember "Domain Admins"
Get-ADComputer -Filter *
dcdiag
repadmin /replsummary
repadmin /showrepl
netdom query fsmo
gpupdate /force
gpresult /h report.htmlПошаговое решение
- Проверить доступность: IP-адрес, DNS-имя, шлюз, нужный TCP/UDP-порт.
- Проверить права: локальная группа, доменная группа, ACL на папке/ресурсе, срок действия пароля.
- Проверить службу: запущена ли она, не падает ли сразу после старта, нет ли зависимости от другой службы.
- Проверить журнал: найти ошибку в момент сбоя, а не читать весь журнал подряд.
- Внести минимальное изменение: перезапуск службы, исправление DNS, обновление GPO, очистка кэша, восстановление прав.
- Проверить повторно: воспроизвести сценарий пользователя и убедиться, что ошибка ушла.
Частые причины
- Неправильный DNS или старый кэш DNS.
- Пользователь не в той группе доступа.
- Блокировка firewall или антивирусом.
- Зависшая служба или поврежденный кэш приложения.
- Недостаток места на диске или переполненные логи.
- Изменение политики безопасности после обновления.
Проверка результата
Проблема считается решенной только после проверки с учетной записью пользователя или на проблемном узле. Если администратор проверил только со своей учеткой, результат нельзя считать подтвержденным.
Как откатить
Если изменение ухудшило ситуацию, верните исходные настройки, восстановите конфигурационный файл из копии, удалите временное правило firewall или отмените изменение GPO. Радикальные действия документируйте отдельно.