我知道有很多帖子和我的类似,但是我可能太笨了,无法获得所有这些信息。
我的问题是我更改了密码,从那以后我每隔约 5 分钟就会被锁定一次,我没有任何使用我的凭证的脚本,也没有已知的服务会使用这个凭证。
我们的 PDC DC 是 DC02,这是来自他的 netlogon.log:
07/21 07:42:13 [LOGON] [5932] DOMAIN: SamLogon: Network logon of DOMAIN\MYUSERNAME from MYLAPTOP Entered
07/21 07:42:13 [LOGON] [5932] DOMAIN: SamLogon: Network logon of DOMAIN\MYUSERNAME from MYLAPTOP Returns 0x0
如果我被锁定,我会在日志中看到以下内容:
07/21 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Entered
07/21 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Returns 0xC0000234
07/21 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Entered
07/21 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Returns 0xC0000234
07/21 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Entered
07/21 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Returns 0xC0000234
07/21 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Entered
07/21 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Transitive Network logon of DOMAIN\MYUSERNAME from MYLAPTOP (via DC05) Returns 0xC0000234
事件查看器中的事件 ID 4740:
似乎有一些东西阻止了此事件 ID 的协议,因为我没有收到任何事件。
有什么方法可以追踪我的笔记本电脑上可能导致这种情况的程序,或者追踪程序使用错误凭据时记录的日志?
我也尝试过锁定文件但这不会在C:\Windows\debug\
我的网络驱动器,这是我唯一拥有的,并且由我们的域映射:
我昨天也做了这个:
我重新安装了 Office 和 MS Teams,清理了凭据管理器,在其中看到了我的用户名,然后运行,sfc /scannow昨天有时还重新启动。
另外,我还使用 Netwrix 帐户锁定检查器控制台来解锁,但它看起来很麻烦,因为我的错误密码计数为 0:
答案1
也许用户被锁定了?
0xC0000234 用户登录时帐户被锁定
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625
答案2
当帐户被锁定时,在具有 PDC FSMO 角色的域控制器上会生成事件 ID 4740。
如果您的 PDC 没有生成这些事件,请确保“审计帐户锁定”策略在成功和失败时均已启用。
您可以在这里找到该政策:
计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略 > 登录/注销