一名 AD 用户不断无缘无故被锁定。没有持久驱动器映射,并且用户未登录到其他任何地方。在 Windows 事件查看器中,不断记录用户在一秒钟内登录(事件 ID 4624)和注销(事件 ID 4634)的日志。虽然我相信这可能是导致问题的原因,但我不明白为什么会发生这种情况。这种情况每天都会发生好几次。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 6/26/2017 10:35:37 AM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: DC.domain.com
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: DC$
Account Domain: domain
Logon ID: 0x3E7
Account That Was Locked Out:
Security ID: domain\user
Account Name: user
Additional Information:
Caller Computer Name:
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4740</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-06-26T14:35:37.402913000Z" />
<EventRecordID>186521580</EventRecordID>
<Correlation />
<Execution ProcessID="820" ThreadID="1708" />
<Channel>Security</Channel>
<Computer>DC.domain.com</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">user</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="TargetSid">S-1-5-21-2106544897-1787049590-12547700-6366</Data>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">R-DC$</Data>
<Data Name="SubjectDomainName">domain</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
</EventData>
</Event>
答案1
如果您还没有启用失败尝试的日志记录作为诊断,我会启用它。然后您可以看到帐户被攻击的次数。失败的尝试应该与计算机名称相关联,这样您就可以确定事情来自哪里。如果帐户很快就被锁定,则可能是有人恶意试图闯入帐户。
答案2
您是否确保控制面板中的凭据管理器下已删除所有已保存的凭据?这种情况发生过一次,结果发现保存的是旧凭据。您必须在他们登录的所有服务器/计算机上执行此操作。