Prima cosa: capire dove nasce il blocco
Quando un accesso RDP fallisce per account bloccato, l’errore che vedi sul client non basta per capire il problema. Il punto non è “RDP non funziona”, ma in quale layer si è fermato l’autenticazione: account locale, dominio Active Directory, policy di lockout, oppure un meccanismo di protezione come NLA o un gateway RDS che sta intercettando il tentativo prima del logon vero e proprio.
Se il server è in produzione, tratta il caso come un incidente con impatto utenti: prima osservi, poi sblocchi, poi verifichi perché il blocco si è ripetuto. Sbloccare alla cieca un account che continua a ricevere tentativi con credenziali sbagliate serve solo a farlo ribloccare dopo pochi secondi.
Il sintomo tipico è uno di questi: messaggio di account bloccato nella schermata RDP, rifiuto immediato dopo l’inserimento delle credenziali, oppure login che sembra partire ma termina con autenticazione negata. La differenza pratica è che nel primo caso la causa è spesso visibile nei log di sicurezza; nel secondo può esserci di mezzo un lockout già scattato da un tentativo precedente, magari da un servizio, una task schedulata o un client salvato con password vecchia.
Diagnosi rapida: locale, dominio o protezione esterna
La prima distinzione è questa: account locale o account di dominio. Un account locale bloccato si gestisce sul server interessato; un account di dominio si sblocca quasi sempre da Active Directory o da uno strumento di gestione centralizzato. Se non fai questa distinzione, rischi di cercare nel posto sbagliato.
Se hai accesso console o a un canale alternativo, verifica subito gli eventi di sicurezza sul server. I riferimenti più utili sono i tentativi falliti e il lockout dell’account. Su Windows Server, gli eventi da cercare sono spesso il 4625 per il logon fallito e il 4740 per l’account bloccato. Non serve memorizzarli a vista: basta sapere che il 4740 ti dice quasi sempre che il lockout è avvenuto e, in molti casi, ti aiuta a capire da quale host è partito il problema.
Se l’account è di dominio, il controllo più veloce è sul Domain Controller. Se hai strumenti amministrativi, puoi verificare lo stato dell’account e i blocchi recenti. In ambienti con più controller, il dato utile è il lockout originator, cioè l’origine del blocco. Quello ti dice se il problema arriva da un server, da una postazione utente o da un servizio automatico.
Se invece l’account è locale, il controllo va fatto sul server stesso. Un errore comune è pensare che il lockout locale sia visibile solo nella GUI di login: in realtà puoi avere tracce nei log eventi e, se il sistema è gestito da strumenti di automazione o da credenziali memorizzate, il blocco può essere ripetuto da un processo non interattivo.
Verifiche immediate da fare prima di sbloccare
Non sbloccare subito se non hai capito chi sta generando il blocco. La sequenza corretta è: identifica il tipo di account, trova l’evento di lockout, controlla l’origine, poi intervieni. Così eviti il classico ciclo “sblocco, nuovo blocco, nuovo ticket”.
Se hai accesso al server, apri il Visualizzatore eventi e controlla il registro Sicurezza. Cerca eventi recenti legati al blocco account e ai logon falliti. Se il problema è su un Domain Controller, la ricerca va fatta lì; se hai più DC, controlla quello che ha registrato l’evento, perché la replica può introdurre ritardi e non tutti i controller mostrano subito lo stesso stato.
Se lavori da PowerShell, un controllo rapido del blocco locale o di dominio richiede moduli e permessi adeguati. Esempio per il dominio:
Get-ADUser nomeutente -Properties LockedOut,LockedOutTime,LastBadPasswordAttempt | Select-Object SamAccountName,LockedOut,LockedOutTime,LastBadPasswordAttemptSe il comando non restituisce i dati attesi, il gap non è nel lockout ma nei permessi o nel modulo Active Directory. In quel caso devi eseguire il controllo da una macchina con RSAT installato e con privilegi di lettura sufficienti sul dominio.
Per capire se il blocco arriva da un servizio o da una password memorizzata, cerca nei log eventi host che hanno provato ad autenticarsi con quell’account. I casi classici sono: servizio Windows configurato con credenziali vecchie, task schedulata, job di backup, mappatura di unità persistente, app legacy con stored credentials, o un client RDP che continua a usare un salvataggio obsoleto. Se non trovi il colpevole, è spesso perché stai guardando solo il server sbagliato o il DC sbagliato.
Sbloccare l’account nel modo corretto
La soluzione dipende dal tipo di account e dal fatto che il blocco sia locale o di dominio. L’obiettivo non è solo ripristinare l’accesso RDP, ma farlo in modo che non si riblocchi al primo nuovo tentativo.
Account di dominio
Se l’account è in Active Directory, sbloccalo da Active Directory Users and Computers o con PowerShell. In GUI, apri le proprietà dell’utente e rimuovi il flag di blocco se presente. In PowerShell, il comando tipico è:
Unlock-ADAccount -Identity nomeutenteQuesto è un cambio reversibile dal punto di vista operativo, ma il blast radius non è nullo: se l’account è usato da servizi o da automazioni, sbloccarlo senza correggere la password o il punto di origine ti riporta al punto di partenza. Il rollback, in questo caso, non è “ribloccare”, ma conservare traccia dell’azione e tornare alla diagnosi se il lockout si ripresenta.
Se vuoi verificare subito che il blocco sia sparito, controlla nuovamente lo stato dell’account e prova una connessione RDP da una postazione pulita, non da quella che potrebbe aver memorizzato credenziali errate. Se la connessione fallisce ancora, non insistere: spesso il lockout viene riattivato dal client o da un servizio esterno pochi secondi dopo lo sblocco.
Account locale
Per un account locale, la gestione dipende dalla versione di Windows e dalla policy di sicurezza. In molti casi puoi usare la console Utenti e gruppi locali o strumenti amministrativi equivalenti. Se l’account locale è bloccato per tentativi errati, controlla prima chi sta ancora inviando la password sbagliata: un sblocco senza correzione della causa è solo temporaneo.
Se la macchina fa parte di un dominio ma l’accesso RDP usa un account locale, fai attenzione al formato delle credenziali e al client usato. Un errore banale è il salvataggio di credenziali vecchie nel gestore credenziali di Windows, che continua a riprovare in background. Anche una sessione RDP con nome utente scritto in modo ambiguo può generare tentativi multipli e bloccare l’account.
Se il blocco viene da policy troppo aggressiva
Se il lockout avviene dopo pochi tentativi, il problema può essere la policy di sicurezza. In ambiente di dominio, la policy di lockout si controlla nelle Group Policy. Qui il rischio è doppio: allentare troppo la policy aumenta la superficie d’attacco, lasciarla troppo stretta produce blocchi continui per errori operativi o password memorizzate male.
La correzione sensata non è quasi mai “disabilitare il lockout”, ma rivedere soglia, durata e finestra di reset in base al profilo dell’utenza. Se stai gestendo account amministrativi, la soglia può essere più severa, ma devi anche garantire che non ci siano client o servizi che provano in automatico con password vecchie. In pratica: meno eccezioni, più igiene sulle credenziali.
Il caso più frequente: il blocco lo genera un altro servizio
Il motivo per cui un account RDP si blocca di continuo spesso non è RDP. È un servizio, una task o un’applicazione che usa le stesse credenziali e continua a fallire. Questa è la parte che fa perdere più tempo, perché l’utente vede solo il problema sul desktop remoto e pensa che la colpa sia della sessione remota.
Il modo giusto per chiudere il cerchio è risalire all’origine del lockout. L’evento di sicurezza sul dominio o sul server spesso indica il computer sorgente. Da lì controlli servizi Windows, Operazioni pianificate, credenziali memorizzate, applicazioni di backup, agent di monitoraggio, connettori verso share SMB o script che usano autenticazione interattiva impropria.
Un esempio pratico: un account amministrativo usato anche per una task schedulata su un server vecchio. La password viene cambiata, RDP funziona dal portatile dell’amministratore, ma la task continua a usare la password obsoleta e riblocca l’account ogni notte. In questo scenario, sbloccare l’utente è solo una misura temporanea; la vera correzione è aggiornare la task o separare gli account di servizio dagli account umani.
Altro caso tipico: credenziali salvate nel client RDP. Se il file `.rdp` o il gestore credenziali contiene un utente vecchio, il client può presentare ripetutamente la stessa password errata. Qui la verifica è semplice: cancella le credenziali salvate e rilancia la sessione con inserimento manuale. Se il blocco smette, hai trovato la causa.
Verifiche finali: accesso, log e prevenzione
Dopo lo sblocco, il controllo finale non è solo “entrare nel server”. Devi verificare tre cose: l’account è effettivamente sbloccato, la connessione RDP si completa, e non ci sono nuovi eventi di lockout subito dopo il login. Se uno di questi tre punti manca, il problema non è risolto.
Per un controllo essenziale, puoi fare una prova di accesso e poi ricontrollare i log eventi. Se l’account si riblocca, cerca l’ultimo host sorgente e identifica il processo che insiste. Se non hai visibilità sui log, quello è un gap da chiudere subito: senza audit minimo stai lavorando al buio.
Per prevenire il ripetersi del problema, conviene separare gli account amministrativi dagli account di servizio, evitare password riutilizzate tra RDP e automazioni, e mantenere una lista chiara di dove quelle credenziali vengono usate. In ambienti con più server, questo punto vale doppio: un solo account usato ovunque diventa la causa perfetta di blocchi a catena.
Se gestisci il dominio, tieni sotto controllo anche la politica di lockout e i sistemi che generano autenticazioni automatiche. Se il numero di blocchi è anomalo, non alzare subito la soglia per comodità: prima trova il generatore dei tentativi errati, poi decidi se la policy va davvero ritoccata.
Assunzione operativa: l’account coinvolto è legittimo e l’intervento è autorizzato; se il contesto cambia, verifica prima i log, l’origine del lockout e la presenza di credenziali salvate prima di qualsiasi modifica ulteriore.
Schema rapido da tenere in testa
Se devi riassumere tutto in una sequenza corta: identifica il tipo di account, trova l’evento di blocco, risali al computer o servizio che ha fallito, sblocca solo dopo aver capito la causa, poi verifica che il problema non si ripresenti. È meno spettacolare di un click risolutivo, ma è quello che evita il secondo ticket.
Nel caso RDP, l’errore visibile è quasi sempre l’ultimo anello della catena. Il blocco vero può essere partito da una task, da un servizio, da un client con credenziali vecchie o da una policy troppo aggressiva. Se leggi i log prima di toccare qualcosa, di solito la risposta è già lì.
Commenti (0)
Nessun commento ancora.
Segnala contenuto
Elimina commento
Eliminare definitivamente questo commento?
L'azione non si può annullare.