让我先介绍一下我的环境的一些细节:
- Windows Active Directory 域环境
- 域控制器:Windows Server 2003 R2
- 问题工作站:Windows 7 Professional 64位
最近我收到了由于过多的登录失败尝试导致域用户帐户被锁定的报告。我从使用两台不同机器(均为 Win 7 Pro x64)的用户那里收到了有关此问题的报告。我本来会解锁他们的帐户并让他们继续工作,但有时帐户会立即重新锁定,有时用户会在夜间被锁定,每晚都会造成一些混乱。由于这个问题,我在 SBS 服务器锁定策略下将帐户锁定阈值设置为 0,以便用户可以在我解决这个问题时不间断地工作。
在对这个问题进行研究时,我发现一个常见的问题是,当用户的密码被更改时,他们的旧凭据会被缓存在某个地方,并被某个流程或服务使用,从而导致审计失败,但相关用户很长时间没有更改密码了。
因此,我正在检查其中一个工作站的事件日志,发现每隔一秒左右就会发生一些用户的审核失败事件。其中一个用户经常通过远程桌面使用计算机,但其他三个用户的情况有点奇怪。据我所知,其他三个用户中有一个不访问这台机器,另外两个用户不存在其中一个不存在的用户拥有我们域名的用户名,另一个用户名为 DENTAL.... 在另一台不断有其他用户注销的机器上,我看到事件中列出了各种奇怪且不存在的用户名(它们是真实姓名,但不是我们域用户的名字,例如 bob、jenny、garry 等)。
安全事件日志时间线每天全天如下所示:审计失败
以下是不存在用户的完整事件详细信息(登录到其电脑的唯一用户是域管理员):
-System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID 9068892 Correlation -Execution [ ProcessID] 560 [ ThreadID] 1364 Channel Security Computer *xxxx.domain.lan* Security -EventData SubjectUserSid S-1-0-0 SubjectUserName - SubjectDomainName - SubjectLogonId 0x0 TargetUserSid S-1-0-0 TargetUserName DENTAL TargetDomainName Status 0xc000006d FailureReason %%2313 SubStatus 0xc0000064 LogonType 3 LogonProcessName NtLmSsp AuthenticationPackageName NTLM WorkstationName TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x0 ProcessName - IpAddress - IpPort -
对于每一个事件(EventID 4625),都有一个具有相同TargetUserName的对应事件(EventID 4776)。
非常感谢您提供的任何帮助和/或建议。如果您需要我提供其他信息、您希望查看事件日志等,请告知我。
提前致谢!