Contact
Line : comsiam
ปัญหา User ถูกล็อก Account ใน Active Directory เป็นหนึ่งในปัญหาที่ฝ่าย IT เจอบ่อยที่สุด โดยเฉพาะในองค์กรที่ตั้งค่า Password Policy และ Account Lockout เอาไว้เพื่อความปลอดภัย
เมื่อ User พิมพ์ Password ผิดหลายครั้ง ระบบ Windows Server 2025 จะทำการ Lock Account อัตโนมัติ เพื่อป้องกันการ Brute Force Attack ซึ่งเป็นเรื่องดีด้าน Security แต่ก็ทำให้ IT ต้อง Unlock User อยู่บ่อยครั้งเช่นกัน
บทความนี้จะสอนทุกวิธีในการ Unlock User AD ทั้งผ่าน GUI, PowerShell และ RSAT แบบใช้งานจริงในองค์กร ซึ่งเป็นแนวทางที่ทีม comsiam ใช้ในการดูแลระบบ Active Directory จริงเช่นกัน
① Account Lockout คืออะไร
Account Lockout คือระบบล็อก Account อัตโนมัติ เมื่อ User ใส่ Password ผิดเกินจำนวนที่กำหนด
ตัวอย่าง:
- ผิด 5 ครั้ง
- ระบบ Lock ทันที
ช่วยป้องกัน:
- Brute Force
- Password Guessing
- Hacker Attack
② อาการของ User ที่ถูก Lock
User จะ Login ไม่ได้
ข้อความที่พบบ่อย:
Your account has been locked outหรือ:
The referenced account is currently locked out③ สาเหตุที่ทำให้ Account ถูก Lock
สาเหตุที่พบบ่อย:
- พิมพ์ Password ผิด
- Password เก่าค้างในมือถือ
- NAS ใช้ Password เก่า
- Wi-Fi ใช้ Password เดิม
- Outlook จำ Password เก่า
- Service ใช้ Password เก่า
หลายครั้ง User เปลี่ยน Password แล้วลืมอัปเดตทุกอุปกรณ์
④ วิธีเปิด Active Directory Users and Computers
เปิด:
Server Manager
> Tools
> Active Directory Users and Computersหรือใช้:
dsa.msc⑤ วิธี Unlock User ผ่าน GUI
ค้นหา User ที่ถูก Lock
คลิกขวา → Properties
ไปที่:
Accountติ๊กถูกออกจาก:
Unlock accountกด Apply → OK
เสร็จทันที
⑥ วิธี Reset Password พร้อม Unlock User
คลิกขวา User
เลือก:
Reset Passwordติ๊ก:
Unlock the user's accountเหมาะสำหรับ:
- User จำ Password ไม่ได้
- Account Lock พร้อมกัน
⑦ วิธี Unlock User ด้วย PowerShell
เปิด PowerShell:
Unlock-ADAccount -Identity somchaiตัวอย่าง:
Unlock-ADAccount -Identity testuser⑧ วิธีดูว่า User ไหนถูก Lock อยู่
ใช้ PowerShell:
Search-ADAccount -LockedOutระบบจะแสดง:
- User ที่ถูก Lock ทั้งหมด
เหมาะสำหรับ:
- IT Support
- Audit
- ตรวจสอบปัญหา
⑨ วิธีดูสาเหตุว่าอะไรทำให้ Account Lock
เปิด Event Viewer
ไปที่:
Windows Logs
> Securityดู Event ID:
4740จะเห็น:
- เครื่องต้นเหตุ
- User ที่ถูก Lock
- เวลาเกิดเหตุ
⑩ วิธีดูว่าเครื่องไหนทำให้ User ถูก Lock
ใน Event 4740 จะมี:
Caller Computer Nameเช่น:
PC-SALES01แปลว่า:
เครื่องนี้ส่ง Password ผิดเข้ามา
⑪ ปัญหาที่พบบ่อยหลัง Unlock แล้วล็อกซ้ำ
สาเหตุหลัก:
- มือถือจำ Password เก่า
- Outlook ค้าง
- NAS ยังใช้ Password เดิม
- Drive Mapping ใช้ Password เก่า
- Service Login ค้าง
⑫ วิธีแก้ User Lock ซ้ำเรื่อยๆ
ตรวจสอบ:
- Outlook
- มือถือ
- Wi-Fi
- VPN
- NAS
- Printer
- Remote Desktop
ทุกจุดที่เคย Login ไว้
⑬ วิธีตั้งค่า Account Lockout Policy
เปิด:
Group Policy Managementไปที่:
Default Domain Policyเส้นทาง:
Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Account Policies
> Account Lockout Policy⑭ ค่าแนะนำสำหรับ Account Lockout
แนะนำ:
Lockout Threshold: 5
Lockout Duration: 15 minutes
Reset Counter: 15 minutesช่วยบาลานซ์:
- Security
- ความสะดวก User
⑮ วิธี Unlock User ผ่าน RSAT
บน Windows 11
ติดตั้ง RSAT
เปิด:
Active Directory Users and Computersแล้ว Unlock ได้เหมือนบน Server
เหมาะสำหรับ:
IT Support ไม่ต้อง Remote เข้า DC
⑯ วิธี Unlock User จำนวนมาก
ใช้ PowerShell:
Search-ADAccount -LockedOut | Unlock-ADAccountปลดล็อกทั้งหมดทันที
เหมาะสำหรับ:
- เหตุการณ์ระบบล่ม
- Password Policy เปลี่ยน
- Incident ใหญ่
⑰ แนวทาง Security ที่ดี
แนะนำ:
- เปิด MFA
- ตั้ง Password แข็งแรง
- จำกัดจำนวน Login ผิด
- Monitor Event 4740
- แยก Admin Account
หลายองค์กรโดนโจมตีผ่าน Password Spray ซึ่ง Account Lockout ช่วยลดความเสี่ยงได้มาก โดยทีม comsiam มักแนะนำให้เปิดใช้งานเสมอ
⑱ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ปิด Account Lockout ทั้งหมด
- ใช้ Password ง่าย
- ใช้ Password เดิมทุกระบบ
- ใช้ Admin Account Login ปกติ
⑲ สรุป
การ Unlock User ใน Active Directory เป็นงานสำคัญของฝ่าย IT เพราะเกี่ยวข้องกับทั้งการใช้งานและความปลอดภัย
หากเข้าใจสาเหตุของ Account Lock จริง:
จะช่วยลดปัญหา User ถูกล็อกซ้ำ และทำให้ระบบองค์กรเสถียรมากขึ้น
