一名前雇员的工作站仍在尝试在域上进行身份验证。他的帐户已被禁用,并且已设置禁用缓存登录尝试的 GPO。这种情况每小时发生 1-2 次。
答案1
这是错误 4740,协议重复登录请求中提供的工作站名称而不是验证它。
开启NTLM身份验证审核,在日志“应用程序和服务日志\Microsoft\Windows\NTLM\Operational”中检查4776个失败,查看真正的来源。
由于呼叫者的计算机名称是“工作站”,我怀疑这是一个欺骗请求,并且您将有兴趣了解尝试的实际来源
答案2
因此,即使帐户被禁用,它仍设置为永不过期。我将帐户设置为终止,但大约 6 小时内没有看到有人尝试。