我知道哪些用户因为错误的密码尝试而不断被锁定,并且他们只来自他们的机器(使用旧的过时的 MS 帐户锁定工具和其他工具来找出这一点) 我不知道这些的来源是什么在相关电脑上是。即使他们的计算机只是放在那儿什么也不做,也会发生这种情况。(他们可能打开了程序,但没有远程桌面或坐在工作站的真人)
它似乎每 15 到 30 分钟向 DC 发送一次,但因用户而异。我将锁定次数重置为 20,这样他们就不会一直被锁定,但我想找到真正的解决方案。
根本没有运行任何计划任务,它们取消了所有驱动器的映射并重新映射。即使这些都已就绪,在一小时内引发如此多次尝试似乎也很奇怪。
所有机器都是安装了最新更新的 Windows 7,并且运行了病毒、恶意软件和间谍软件扫描程序,但没有发现任何问题。
我们在 Rackspace 有一个托管的 Exchange 帐户,因此没有连接到 DC。(除非我在这里遗漏了什么)
答案1
我不确定它是否可以与 Server 2008 一起使用,但 Microsoft 有一些针对 Server 2003 的工具可以跟踪此类行为。
它们被称为帐户锁定工具,你可以从以下位置下载http://www.microsoft.com/en-us/download/details.aspx?id=18465或者阅读http://technet.microsoft.com/en-us/library/cc738772(v=ws.10).aspx
其中一个工具将扫描域控制器上的事件日志,查找审计失败,并报告发起请求的设备的名称。
答案2
- 检查受影响用户机器上的事件日志,您可能会很幸运地发现那里失败的尝试。
- 让用户自愿在他们的机器上运行进程监视器,直到问题重现。http://technet.microsoft.com/en-us/sysinternals/bb896645(打开记录到磁盘、从中获取文件等)
- 您可以采访一些用户,看看他们是否都运行了某个程序,也许是一个可以记住密码的程序。他们最近都更改过密码吗?
- 可能需要跑步网络监视器(可能有更新的版本,不知道)在他们的一台机器上并检查网络流量以确定哪个进程正在发送登录尝试。