我们有一个用户经常被阻止。我们检查了域控制器中的日志,显示的所有信息都表明 WINDROID 设备是源头。我怎么知道是哪个设备导致了这种情况?有没有办法更深入地分析这个问题?
答案1
当然。我想如果它是“WINDROID 设备”,那么请检查您的邮件服务器(Exchange?)在其上启用 netlogon:
nltest /dbflag:2080ffff
在 %systemroot%/debug 目录中创建 Netlogon.txt 文件
将日志中的时间戳与帐户锁定发生的时间关联起来......
最后不要忘记禁用 netlogon 日志记录
nltest /dbflag:0
您也可以尝试使用免费工具Netwrix 帐户锁定检查员它确实简化了调查