默认域管理员帐户已被禁用(我们已经禁用它!)但我在 Dcs 上经常收到以下错误:
Event Code: 16
User Name: administrator
Failure Code: 0x12
Logon Service: krbtgt/X.COM
Logon Time: Aug 12,2023 09:26:22 AM
SID: -
Remarks: A Kerberos authentication ticket (TGT) was requested.
Event Number: 4768
Domain Controller: dc1.X.com
Event Type: Failure
Client IP Address: 172.24.77.12
Domain: X.com
Failure Type: Account disabled, expired, or locked out
Client Host Name: 172.24.77.12
Record number: 486047160
我不知道为什么我会通过禁用的管理员帐户收到 Kerberos 票证请求,以及如何缓解它。
答案1
可能是由域管理员运行或安装的服务导致的。据我所知,有两种工具可以分析这种情况。
LockoutStatus.exe:您可以查看登录请求以及时间和数量。
https://www.microsoft.com/en-US/download/details.aspx?id=15201
Aloinfo.exe:您可以查看哪些应用程序或服务使用域管理员。 https://www.microsoft.com/en-US/download/details.aspx?id=18465