Пользователь AD постоянно блокируется без причины. Нет постоянных сопоставлений дисков, и пользователь больше нигде не входит в систему. В средстве просмотра событий Windows есть постоянные журналы входа пользователя в систему (идентификатор события 4624) и выхода из системы (идентификатор события 4634) в течение секунды. Хотя я считаю, что это может быть причиной проблемы, я не понимаю, почему это произошло. Это происходит несколько раз в день.
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 6/26/2017 10:35:37 AM
Event ID: 4740
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: DC.domain.com
Description:
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: DC$
Account Domain: domain
Logon ID: 0x3E7
Account That Was Locked Out:
Security ID: domain\user
Account Name: user
Additional Information:
Caller Computer Name:
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4740</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-06-26T14:35:37.402913000Z" />
<EventRecordID>186521580</EventRecordID>
<Correlation />
<Execution ProcessID="820" ThreadID="1708" />
<Channel>Security</Channel>
<Computer>DC.domain.com</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">user</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="TargetSid">S-1-5-21-2106544897-1787049590-12547700-6366</Data>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">R-DC$</Data>
<Data Name="SubjectDomainName">domain</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
</EventData>
</Event>
Я бы включил ведение журнала неудачных попыток в качестве диагностики, если вы еще этого не сделали. Затем вы можете увидеть, сколько раз попадает в аккаунт. К неудачным попыткам должно быть привязано имя компьютера, и это точно укажет вам, откуда что-то происходит. Если учетная запись блокируется очень быстро, у вас может быть злонамеренная попытка взлома учетной записи.
Вы позаботились о том, чтобы все сохраненные учетные данные были удалены в Диспетчере учетных данных в Панели управления? Если бы это случилось однажды, оказалось, что были сохранены старые учетные данные. Вам нужно будет сделать это на всех серверах / компьютерах, на которые они входят.