我有一个无法解锁的 AD 用户帐户,AD 在 Win2k3 上运行。
我可以取消选中“帐户已被锁定”复选框并单击“应用”,然后单击“确定”,但当我打开属性对话框时,帐户仍然被锁定。
我更改了 Windows 设置 > 安全设置 > 帐户锁定策略 > 全部未定义的组策略。但帐户仍然被锁定。
客户端计算机上次使用时可能未正确关闭。
可能出了什么问题?谢谢您的建议。
编辑:按照 Chadddada 的建议,我创建了一个 .bat 文件来执行命令,并同时在客户端计算机登录屏幕上按下“Enter”按钮 --- 我现在已登录!
但再次检查 AD,帐户仍然被锁定!我认为没有任何机器设置为使用随机密码“暴力破解”该用户帐户。知道它为什么会自动锁定吗?
编辑(更新):检查事件查看器 > 安全日志,主要嫌疑人是
Pre-authentication failed:
User Name: lesliet
User ID: COUNTRY\lesliet
Service Name: krbtgt/COUNTRY.COMPANY.COM
Pre-Authentication Type: 0x2
Failure Code: 0x12
Client Address: 192.168.xxx.yyy
192.168.xxx.yyy 实际上是我们在 Win2k8 上运行 AD 的辅助 DC。但这超出了我已知的范围。如有任何帮助,我们将不胜感激!
答案1
我以前见过这种情况,当某人存储了帐户凭据(比如在 IPAD 上)时,会将其登录到电子邮件中。这会每隔一段时间尝试同步帐户(例如每 30 秒轮询一次),并锁定帐户。请参阅此 Microsoft 下载链接以获取帐户锁定工具和有关解决帐户锁定问题的白皮书。
更新:
Exchange 只是一个例子。它可能很简单,比如在更改密码后登录到另一个工作站。就你的情况而言,问题在于策略限制。按照白皮书中的步骤操作,你将了解如何使用 netlogon.log 文件和工具来追踪导致问题的工作站
答案2
您是从可以修改 AD 的域管理员帐户执行此操作的(我知道这个问题很愚蠢)?您是否尝试过使用似乎仍处于锁定状态的帐户登录?
我还将通过 cmd 仔细检查其是否被锁定:NET USER loginname /DOMAIN | FIND /I "Account active"
尝试解锁:NET USER loginname /DOMAIN /ACTIVE:YES
或者输入重置密码:NET USER loginname newpassword /DOMAIN /ACTIVE:YES
只需尝试一些事情。
答案3
检查服务器安全日志以尝试确定从哪台机器进行登录尝试。
我怀疑您看到的情况可能是病毒或其他恶意软件造成的。我以前见过这种情况,恶意软件使用暴力手段尝试访问帐户。无论您解锁多少次,几秒钟内帐户都会再次被锁定,因为有人试图使用错误的密码使用它。在这种情况下,服务器当然会执行其应执行的操作 - 锁定帐户。
答案4
最简单的方法...禁用并启用帐户:)