我有一个大问题,我需要帮助。
我有一个带 AD 的 Windows 域,它在不同的网络中有 10 个 DC。我有一个特定的用户,在他更改了密码后,他被锁定了(密码到期日期)。
查看日志,我发现他在 RDP 中“断开连接”了 2 台机器,我从那里将他注销。日志明确指出机器名称,因此很容易,该区域的域控制器让我们称为 DC4。我只是把他注销了,没有更多关于那两台机器的日志。
但是他仍然被锁定在 DC5 中,并且日志只显示域控制器的计算机名称,当然他没有登录那里。
我们与其他应用程序有很多集成,使用 LDAP 协议对用户进行身份验证等......我们基本上使用 AD 用户/组进行所有操作。
我尝试使用wireshark查看一些日志但不走运,也许我只是使用了错误的过滤器搜索,但对于某些集成我有LDAPS...
我们将他的密码恢复为所有这一切开始之前的密码,他当然没事,但我们需要弄清楚这一点。
那么,还有其他方法可以检查阻止帐户的真正来源吗? 在 Windows 日志中,我正在寻找事件 ID 4740 和 4771。对于 DC4,它只有 4740,这就是 DC4 本身所说的。我让他检查任何脚本或他使用他的帐户的东西,但他说什么他都不记得了。
大家有什么推荐的吗?
用户帐户被锁定。 主题: 安全 ID:SYSTEM 账户名:DC4$ 账户域:DOMAIN 登录 ID:0x3E7 被锁定的帐户: 安全 ID:DOMAIN\user_here 账户名:user_here 附加信息: 来电计算机名称:DC4
谢谢!