我遇到一个问题,每天下午 17:00 左右,4-5 个域用户帐户被锁定。我认为问题出在某个地方运行的脚本……问题是我无法确定哪台计算机/服务器尝试使用不正确的凭据登录。有没有办法找到这台机器的计算机名称/IP?
答案1
我通常通过以下方式获得成功:
- 跑步锁定状态。
- 输入用户名并找出哪个 DC 是锁定的来源(“原始锁定”列)以及锁定时间(“锁定时间”列)。
- 检查当时 DC 上的安全日志,通常您可以将其定位到特定的机器。
- 一旦你有了机器,它通常是:
- 用户以其名义运行计划任务并且其密码已更改。
- 用户的 RDP 会话已断开。
如果它每天在同一时间发生,我会说它几乎肯定是一项计划任务。
答案2
这个问题不久前已经得到回答——我的用户账户被某人永久锁定