我如何才能知道为什么特定的 AD 帐户每天被锁定?

我如何才能知道为什么特定的 AD 帐户每天被锁定?

我遇到一个问题,每天下午 17:00 左右,4-5 个域用户帐户被锁定。我认为问题出在某个地方运行的脚本……问题是我无法确定哪台计算机/服务器尝试使用不正确的凭据登录。有没有办法找到这台机器的计算机名称/IP?

答案1

我通常通过以下方式获得成功:

  1. 跑步锁定状态
  2. 输入用户名并找出哪个 DC 是锁定的来源(“原始锁定”列)以及锁定时间(“锁定时间”列)。
  3. 检查当时 DC 上的安全日志,通常您可以将其定位到特定的机器。
  4. 一旦你有了机器,它通常是:
    • 用户以其名义运行计划任务并且其密码已更改。
    • 用户的 RDP 会话已断开。

如果它每天在同一时间发生,我会说它几乎肯定是一项计划任务。

答案2

这个问题不久前已经得到回答——我的用户账户被某人永久锁定

相关内容