自从我更改了工作域的管理员密码后,管理员帐户在早上用户开始登录计算机时总是被锁定。我不确定为什么登录 PC 的用户会尝试使用管理员帐户,但我总是收到事件 675,故障代码为 0x18。几次登录失败后,帐户就被锁定了。错误中的用户 ID 是域管理员,客户端地址是用户计算机的 IP 地址。
早上所有人登录后,管理员帐户不再被锁定 - 这仅在所有人登录时发生。我还没有看到导致特定计算机锁定的模式(因此我并不怀疑有人试图破坏安全)。
知道为什么会发生这种情况以及如何解决它吗?
答案1
听起来好像某个服务或映射驱动器正在使用带有旧密码的管理员帐户。错误日志应该会显示出现问题的计算机的 IP 或名称。
答案2
首先,我建议您查看事件日志中的事件代码 4740,它应该包含导致锁定的计算机名称或 IP。
如果锁定是由随机计算机引起的,则检查它们在服务、计划任务或任何其他应用程序中是否存储了凭据,密码存储在其中。
或者在登录脚本中的某个地方,然后您忘记了它。
答案3
您将能够在事件查看器中看到您的帐户被锁定的原因。事件 ID 为 644。请确保您的安全审核设置为成功/失败,以便在 DC 的事件日志中看到这些错误。
此外,事件 ID 529 表示登录尝试失败,应列出保存了错误凭据的所有位置。
答案4
有一个实用程序 netwrix 帐户检查器。您可以从 netwrix.com 下载它。下载并配置它,它会告诉您您的帐户在哪里被锁定。