Для моей организации, насчитывающей около 6000 пользователей, я сделал всего три вещи.
Причина, по которой у меня есть FGPP для пользователей домена, заключается в том, что я могу настроить приоритет.
С тех пор у меня не было проблем с большинством моих 6000 пользователей. Однако учетные записи примерно десятка ИТ-сотрудников блокируются в тот момент, когда они блокируют свои экраны и пытаются снова войти в систему.
Я использовал lockoutstatus.exe и увидел, что у двух из трех наших контроллеров домена используются неверные пароли, но я не могу точно определить, что это делает.
Это отдельная проблема, но наши журналы просмотра событий перезаписываются через 20 минут, и их трудно разобрать, мы получаем около миллиона событий в час, а в представлении событий хранится только 8 гигабайт на категорию. Я поднимаю этот вопрос, потому что я не могу надежно использовать Event Viewer на нашем DC, чтобы определить это.
Хотя мы заставили некоторых пользователей изменить свой пароль, двое из пользователей, у которых возникла эта проблема, были освобождены от принудительного сброса пароля, поэтому их учетные данные вообще не изменились во время любого из этих действий.
Какие-нибудь инструменты или советы, которые могут мне помочь?
Если вы используете аутентификацию RADIUS в своем бизнесе, у меня была аналогичная проблема, когда устройство, например карманный телефон, использовало WIFI с паролем пользователя (-ей) AD.
Устройство вызывало блокировку учетной записи.
В журнале событий безопасности, если вы можете перехватить журнал ошибок, вы увидите исходный IP-адрес 0.0.0.0, когда это произойдет при аудите сбоев учетной записи. IP-адрес не установлен для рабочей станции или устройства, поскольку это клиент локального радиуса на контроллере домена, который не прошел аудит / вход в систему.