Win*_*Ops 9 active-directory group-policy windows-server-2008-r2
去年我构建了一个 Windows 2008 R2 服务器,自从我的提升帐户每天锁定 10-12 次以来。经过大量研究和测试,我发现服务器在每次尝试更新组策略失败时都会锁定我的帐户(大约每 90 分钟一次)。我在网上找不到任何信息表明其他人已经看到了这一点,我自己也觉得难以置信。
每次在服务器上记录 3 个系统事件:
事件 ID 14:凭据管理器中存储的密码无效。这可能是由于用户从这台计算机或其他计算机更改了密码所致。要解决此错误,请在控制面板中打开凭据管理器,然后重新输入凭据 contoso\me 的密码。
Credential Manager 中没有条目。无论我是否禁用 Credential Manager 服务、是否登录、是否注销并使用本地管理员帐户删除我的个人资料,都会发生这种情况。
事件 ID 40960:安全系统检测到服务器 cifs/ContosoDC.contoso.com 的身份验证错误。来自身份验证协议 Kerberos 的失败代码是“用户帐户已被自动锁定,因为请求的无效登录尝试或密码更改尝试次数过多。(0xc0000234)”。
——
事件 ID 1058:
处理组策略失败。Windows 尝试从域控制器读取文件 \contoso.com\SysVol\contoso.com\Policies{78719F0C-3091-4B5C-9BC3-6498F729531E}\gpt.ini,但未成功。在解决此事件之前,可能不会应用组策略设置。此问题可能是暂时的,可能由以下一种或多种原因引起: a) 与当前域控制器的名称解析/网络连接。b) 文件复制服务延迟(在另一个域控制器上创建的文件尚未复制到当前域控制器)。c) 分布式文件系统 (DFS) 客户端已被禁用。
我检查了项目交流,似乎没有。
我已经通过检查用户帐户没有被锁定,在服务器上运行 gpupdate ,然后重新检查立即锁定的用户帐户来彻底测试这一点。我已经使用锁定工具来揭示所有锁定都来自这个特定的服务器。用户帐户没有关联的电子邮件地址,我已经广泛研究了常见的已知锁定问题数组。
对我有什么线索吗?我正准备关闭这个生产服务器并在 AD 中重置它的计算机对象,但我不知道它会有所帮助。
显然,凭证管理器中可能存在未显示的密码。或者,引用此链接:
有些密码可以存储在 SYSTEM 上下文中,而在普通的 Credential Manager 视图中是看不到的。
从http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx下载 PsExec.exe 并将其复制到 C:\Windows\System32 。
从命令提示符运行:
psexec -i -s -d cmd.exe从新的 DOS 窗口运行:
rundll32 keymgr.dll,KRShowKeyMgr删除出现在存储的用户名和密码列表中的任何项目。重新启动计算机。
希望这能解决您的问题。
| 归档时间: |
|
| 查看次数: |
11001 次 |
| 最近记录: |