Отключенная учетная запись и прекращенная рабочая станция сотрудника пытается аутентифицироваться.
Рабочая станция бывшего сотрудника все еще пытается пройти аутентификацию в домене. Его учетная запись отключена, и имеется объект групповой политики, отключающий попытки входа в систему из кеша. Это происходит примерно 1-2 раза в час.
Таким образом, даже несмотря на то, что учетная запись была отключена, срок ее действия не истек. Я настроил учетную запись на конец и не видел попытки в течение ~ 6 часов.
Это ошибка 4740, и протокол повторяет имя рабочей станции, указанное в запросе на вход, вместо его проверки.
Включите аудит проверки подлинности NTLM и проверьте 4776 сбоев в журнале «Журналы приложений и служб \ Microsoft \ Windows \ NTLM \ Operational», чтобы увидеть реальный источник.
Поскольку имя вызывающего компьютера - "Рабочая станция", я подозреваю, что это поддельный запрос, и вам будет интересно узнать, что происходит с фактическим источником попыток.