用户的 AD 帐户不断被自动锁定。我相信这不是用户反复输入错误密码的明显问题。
每当发生这种情况时,事件查看器中的系统日志就会充满如下消息:
事件 ID 8005 浏览器收到服务器公告,表明计算机 X 是主浏览器,但是该计算机不是主浏览器。
事件 ID 8009 浏览器无法将自己提升为主浏览器。当前认为自己是主浏览器的计算机是 X。
事件 ID 8019 浏览器无法将自身提升为主浏览器。浏览器将继续尝试将自身提升为主浏览器,但将不再在事件查看器的事件日志中记录任何事件。
我假设这两者是相关的,但却找不到任何证据来支持这一点。
答案1
浏览器选举消息和锁定帐户可能具有一些类似的不良网络连接根本原因,但它们并不相关。
这是一篇有关对导致浏览器选举消息的计算机浏览器服务进行故障排除的不错的文章:http://support.microsoft.com/kb/188305
就锁定的用户帐户而言,我怀疑用户在某处拥有缓存的凭据(通过 PEAP 进行的无线以太网身份验证、用作服务用户上下文的帐户、客户端计算机上的 /SAVECREDS 等),并且该凭据指定了旧密码。
解决帐户锁定问题并不是一件有趣的事情。首先,请先阅读 Microsoft 的文章:http://technet.microsoft.com/en-us/library/cc773155(WS.10).aspx 您需要在域控制器计算机上启用适当数量的安全日志记录,以便将锁定与实际事件(启动给定计算机、启动服务等)关联起来。有些工具可以帮助收集来自多个域控制器的事件日志并汇总它们以查找帐户锁定的原因(请参阅http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E),因为事件将分布在所有域控制器计算机的安全日志中。
帐户锁定故障排除的要点是,您需要加强安全审核,并开始研究锁定事件发生时现实世界中发生的情况。
答案2
我同意 Evan 的观点,认为这两个问题(浏览器选举和账户被锁定)可能存在关联,但我不会把它们归为肯定相关的范畴。你可能需要看看这个先前发布的问题关于帐户被锁定,因为它可能有助于您找到当前问题的原因。
答案3
你不得以你的用户账户运行服务。
哪些用户?管理员?普通用户?
此人似乎还有其他理论:
http://www.sakana.fr/blog/2007/02/27/active-directory-user-account-repeatedly-locked-for-no-reason/
答案4
我们发现几个用户的一个奇怪现象与他们被设置在用户帐户下有关。一旦我们将他们从明确设置中删除,问题就解决了。它只影响了我们 500 名用户中的 3 或 4 名,所以我们仍然不确定为什么会出现这种情况。大多数情况下,人们被设置为拥有调试器用户权限而不是常规用户权限,但这可能是一个转移注意力的借口。