我有一个大问题，我需要帮助。

我有一个带 AD 的 Windows 域，它在不同的网络中有 10 个 DC。我有一个特定的用户，在他更改了密码后，他被锁定了（密码到期日期）。

查看日志，我发现他在 RDP 中“断开连接”了 2 台机器，我从那里将他注销。日志明确指出机器名称，因此很容易，该区域的域控制器让我们称为 DC4。我只是把他注销了，没有更多关于那两台机器的日志。

但是他仍然被锁定在 DC5 中，并且日志只显示域控制器的计算机名称，当然他没有登录那里。

我们与其他应用程序有很多集成，使用 LDAP 协议对用户进行身份验证等......我们基本上使用 AD 用户/组进行所有操作。

我尝试使用wireshark查看一些日志但不走运，也许我只是使用了错误的过滤器搜索，但对于某些集成我有LDAPS...

我们将他的密码恢复为所有这一切开始之前的密码，他当然没事，但我们需要弄清楚这一点。

那么，还有其他方法可以检查阻止帐户的真正来源吗？ 在 Windows 日志中，我正在寻找事件 ID 4740 和 4771。对于 DC4，它只有 4740，这就是 DC4 本身所说的。我让他检查任何脚本或他使用他的帐户的东西，但他说什么他都不记得了。

大家有什么推荐的吗？

用户帐户被锁定。 主题： 安全 ID：SYSTEM 账户名：DC4$ 账户域：DOMAIN 登录 ID：0x3E7 被锁定的帐户： 安全 ID：DOMAIN\user_here 账户名：user_here 附加信息： 来电计算机名称：DC4

谢谢！