Мы работаем в среде Windows 2008 / Windows 7.
Один из моих пользователей ежедневно блокирует свою учетную запись Active Directory. Это происходит через 10–18 часов после каждого сброса.
Это началось только на прошлой неделе.
Я вижу, что причина блокировки - количество неудачных попыток ввода пароля. Однако пользователь не терпит неудач ни в одной попытке, когда он разблокирует свою систему.
Поэтому я думаю, что должна быть служба или какое-то приложение, которое сохранило его учетные данные (возможно, старые?) И каким-то образом пытается получить доступ к сети, тем самым вызывая событие блокировки.
Есть ли какие-нибудь инструменты, которые я могу использовать, чтобы узнать, с какого компьютера происходят эти неудачные попытки входа в систему? Что вы можете порекомендовать для дальнейшего устранения этой проблемы? Это стало очень неприятно.
Спасибо!
Вместо того, чтобы нырять в журнал (как было предложено другим ответом до сих пор), Я предпочитаю использовать инструменты блокировки учетной записи от Microsoft.
По крайней мере, это очень полезно, показывая мне, на каком контроллере домена нужно заняться лог-погружением.
(И да, он работает на Server 2008 R2, хотя изначально был разработан для 2000 и 2003 гг.)
На сервере Active Directory, который пользователи используют для входа в систему, вы найдете запись в журнале событий безопасности.
Идентификатор события может быть 4771 (служба проверки подлинности Kerberos).
Это может выглядеть примерно так:
Kerberos pre-authentication failed.
Account Information:
Security ID: DOMAIN/USERACCOUNT
Account Name: USERACCOUNT
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff: **172.17.xx.xx**
Client Port: 59596
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.
Строка Client Adress сообщит вам, с какого клиента / сервера была сделана попытка входа в систему. (в этом примере 172.17.xx.xx)
Часто это постоянное отображение сетевого диска с использованием старого пароля (возможно, с рабочей станции другого пользователя).