Ric*_*est 5 active-directory windows-server-2008-r2 user-accounts
我们在 Windows 2008 / Windows 7 环境中运行。
我的一个用户每天都被锁定在他的 Active Directory 帐户之外。这发生在每次重置后 10 到 18 小时之间。
这是上周才开始的。
我可以看到锁定的原因是密码尝试失败的次数。然而,当用户解锁他的系统时,他的任何尝试都没有失败。
因此,我认为必须有一项服务或某个应用程序保留了他的凭据(可能是旧的?)并试图以某种方式访问网络从而触发锁定事件。
是否有任何工具可以用来告诉我这些失败的登录来自哪台计算机?您有什么建议可以进一步解决此问题吗?它变得非常令人沮丧。
谢谢!
我更喜欢使用 Microsoft 的帐户锁定工具,而不是日志潜水(正如迄今为止的其他答案所建议的那样)。
至少,它在向我展示要登录哪个域控制器方面非常有帮助。
(是的,它确实适用于 Server 2008 R2,即使它最初是为 2000 和 2003 开发的。)
在用户用于登录的 Active Directory 服务器上,您将在安全事件日志中找到一个条目。
事件 ID 可能是 4771(Kerberos 身份验证服务)
它可能类似于以下条目:
Kerberos pre-authentication failed.
Account Information:
Security ID: DOMAIN/USERACCOUNT
Account Name: USERACCOUNT
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff: **172.17.xx.xx**
Client Port: 59596
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.
客户端地址行将告知您登录尝试来自哪个客户端/服务器。(在此示例中为 172.17.xx.xx )
| 归档时间: |
|
| 查看次数: |
18964 次 |
| 最近记录: |