我有一个用户几乎每天都会被锁定在其 AD 帐户之外,有时一天会被锁定多次。
当他们不工作时,帐户甚至会被锁定。他们使用 3 台不同的计算机,其中两台会产生锁定 - 所以我至少知道设备。似乎当用户使用 RDP 时,他们往往会立即被锁定 - 但并非总是如此。
我无法控制 DC 或 AD,我对 AD 的访问权限有限,并且权限也有限 - 我们是一个大型组织,我的团队成员只是说擦除它们并重新映像即可。
我想知道是什么原因造成的,并尝试排除故障以解决问题。这些机器上装有专门的软件,安装许可证的过程是一场噩梦,真的很麻烦(而且我们需要的是旧版本)——所以我想避免这种情况。
那么我该如何追踪到应用程序?我搜索了事件日志,它似乎与终端服务有关。
我检查了计划任务,但什么也没发现。我查看了两台机器启动时运行的服务和应用程序,但似乎什么也没发现。
答案1
到目前为止,最简单的方法是访问 DC 来检查其日志,它可能会通过以下 powershell 命令为您提供有问题的工作:
Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}
如果没有访问 DC 服务器的权限,这里有一个小指南可能会有所帮助。如果用户密码已更改且在某些客户端设备中未更新,则经常会出现帐户被锁定的情况。它们使用旧凭据保留请求身份验证。因此,基本上,您“只需”擦除所有客户端设备上的凭据即可摆脱这种现象。您可以查看:
- 在凭证管理器上(在 Windows 的控制面板中):
- 所有与 AD 相关(邮箱、任何其他邮箱)的移动设备
既然您提到了这一点,那么这也可能是由于您所在园区某处的终端服务器断开连接会话造成的。如果是这种情况,则此会话仍会缓存 TS 服务器上的旧凭据。只需找到它并关闭它,一切就绪了。
答案2
旧凭证显然缓存在其中一个设备上。即使您有本地 Exchange,例如,一部手机缓存了以前密码的电子邮件凭证,也可能会一遍又一遍地尝试进行身份验证。解决这个问题的唯一方法是更新此用户所有设备上的凭证。