我们的一个用户每周都会被 AD 锁定一次。我通过检查域控制器上的事件 4740 确定了导致锁定的源计算机。
通过 Sysinternal 工具中的 Procmon 监控网络活动,锁定时与我们的域控制器通信的唯一进程是 lsass.exe。我可以通过使用错误的密码进行身份验证来手动重现帐户锁定,并验证确实是 lsass.exe 导致锁定。
1..30 | ForEach-Object {Start-Process calc.exe -Credential (New-Object System.Management.Automation.PSCredential ('DOMAIN\USER', (ConvertTo-SecureString 'aaa' -AsPlainText -Force)))}
我该如何进一步分析 lsass.exe 以找出定期导致这些帐户锁定的应用程序?我已经检查了目标机器上其他文章中提到的所有内容,我最后的希望是调试 lsass.exe。如果这不起作用,唯一的其他选择就是重新映像客户端。我们已经检查了其他所有内容,但没有找到根本原因。