当我查看 Windows Server 2008 R2 上的事件查看器的安全选项卡时,显示了大量事件 ID 为 4776 的审核失败。
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: randy
Source Workstation: HPDB1
Error Code: 0xc0000064
我已验证帐户“randy”存在于我的 Active Directory 中。据我了解,最近没有任何密码更改。有没有办法获取有关此错误的详细信息?我想知道哪个程序正在请求此信息。
另外,有什么方法可以清除此错误吗?我正在考虑重置密码并将其改回原始密码。
答案1
错误代码0xc0000064表示指定的用户不存在。我知道您说过您的域中确实有一个名为“randy”的用户。因此,要修复此问题,您需要查看工作站 HPDB1 上的应用程序,并找出哪个应用程序试图以“randy”身份登录,但未添加您的域前缀。
(例如DomainA\randy)
查找可能在“randy”的安全上下文下运行或可能尝试使用用户名“randy”登录域的计划任务、服务等。还要检查 Windows Credential Vault。Randy 在没有指定域名的情况下将其凭据输入到某个内容中。
答案2
我遇到过类似的问题。这是一个隐藏的过期凭证。试试这个:
从命令提示符运行: psexec -i -s -d cmd.exe
从新的 DOS 窗口运行: rundll32 keymgr.dll,KRShowKeyMgr
删除“存储的用户名和密码”列表中显示的所有项目。重新启动计算机。