背景:具有单个域的 Windows 2008 R2 AD。集成了 Windows 代理身份验证。用户帐户一直处于锁定状态,域控制器事件 4740 指向用户的个人桌面。寻找锁定的可能原因时,我发现它来自应用程序的自动更新配置。
问题:这在我的公司很常见,员工使用个人用户帐户设置应用程序代理更新配置。一旦帐户密码过期,他们就会更改密码,导致应用程序尝试检查可能的更新时用户帐户被锁定。
我尝试使用 Process Explorer 和 Process Monitor 等工具来查找锁定源,但这些工具的进程始终由用户运行,而不是由代理配置设置的进程运行。
我也尝试启用 Windows 安全日志的审计进程跟踪,但发生的情况是一样的,并且进程的所有者是运行应用程序的人。
有什么方法可以识别那些尝试使用用户帐户凭据通过代理检查更新的应用程序吗?
谢谢。