我工作域中的帐户每天早上都会被锁定,这真是让人无法忍受。域管理员不知道是什么原因造成的,因此我必须每天早上打电话来解锁我的帐户。我通常在下班时不会注销,第二天早上我可以解锁我的电脑并访问我的工作站,但当我尝试做任何与域相关的事情时,我意识到我的帐户已被锁定。
这是我迄今为止尝试过的:
- 删除所有网络驱动器
- 确保我远程访问的所有服务器都没有与我的帐户进行会话,也没有在我的帐户下运行的服务。
- 我的工作站上没有使用我的帐户本地运行任何服务。
我还可以尝试什么?
答案1
听起来好像有一个计划任务、SQL Server 作业或类似的东西每晚都在运行,并且设置为使用你的过期密码。
您(嗯,管理员)可以审核域控制器上的登录并查找失败的登录尝试;这应该会显示它来自哪台计算机,但您可能需要四处寻找导致它的任务/程序。
但是,如果他们不愿意帮你做这件事,那么你可能需要四处寻找。也许可以尝试每晚关闭不同的工作站,看看你的帐户是否在第二天早上被锁定;如果没有,你可以相当肯定其中一台停机的计算机就是进行虚假登录尝试的计算机。重复此过程,直到找到导致问题的单台计算机,然后四处寻找,直到找到罪魁祸首。
答案2
您还应该扫描病毒和其他东西。 Malwarebytes是一个有用的工具,免费并且易于使用。
答案3
微软有一个名为EventCombMT- 域管理员可以针对域控制器运行此操作。有一个内置的“帐户锁定”搜索,它会准确地告诉您尝试来自哪台机器。我刚刚查找的一个例子如下:
644,审核成功,安全,2010 年 8 月 17 日星期二 11:51:13,NT AUTHORITY\SYSTEM,用户帐户已锁定:目标帐户名称:“USERID”目标帐户 ID:%{S-1-5-21-3078125930-3267205474-2863779865-3344} 呼叫者机器名称:“CulpritMachine”呼叫者用户名:DC 呼叫者域:“DOMAIN”呼叫者登录 ID:(0x0,0x3E7)
答案4
让您的域管理员查看 DC 上的安全日志,他们应该能够告诉您它从哪里被锁定。这里有很多变量,例如有多少个 DC 以及哪个域功能级别。但 DA 应该能够相对快速地回答这个问题。