我们在 Windows 2008/Windows 7 环境中运行。
我的一位用户每天都会被锁定其 Active Directory 帐户。每次重置后 10 到 18 小时之间都会发生这种情况。
这件事上周才刚刚开始。
我可以看到锁定的原因是密码尝试失败的次数。但是,用户在解锁系统时并没有尝试失败。
因此,我认为一定有某种服务或某个应用程序保留了他的凭证(可能是旧的?)并试图以某种方式访问网络,从而触发锁定事件。
有什么工具可以告诉我这些登录失败来自哪台计算机?您有什么建议可以进一步解决此问题吗?这已经变得非常令人沮丧。
谢谢!
答案1
而不是进行 log-diving(正如迄今为止其他答案所建议的那样),我更喜欢使用 Microsoft 的帐户锁定工具。
至少,它非常有助于告诉我应该在哪个域控制器上进行日志潜水。
(是的,它确实可以在 Server 2008 R2 上运行,尽管它最初是为 2000 和 2003 开发的。)
答案2
在用户用于登录的 Active Directory 服务器上,您将在安全事件日志中找到一个条目。
事件 ID 可能是 4771(Kerberos 身份验证服务)
它可能看起来类似于以下条目:
Kerberos pre-authentication failed.
Account Information:
Security ID: DOMAIN/USERACCOUNT
Account Name: USERACCOUNT
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff: **172.17.xx.xx**
Client Port: 59596
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.
客户端地址行将告知您登录尝试来自哪个客户端/服务器。(在此示例中为 172.17.xx.xx)
答案3
这通常是使用旧密码(可能来自另一个用户的工作站)的持久网络驱动器映射。