Active-Directory

禁用帳戶並終止員工工作站嘗試進行身份驗證。

  • July 14, 2017

前僱員的工作站仍在嘗試在域上進行身份驗證。他的帳戶被禁用,並且 GPO 禁用了記憶體的登錄嘗試。這種情況大約每小時發生 1-2 次。

電子郵件通知

因此,即使該帳戶已被禁用,它仍被設置為永不過期。我將帳戶設置為結束,並且在大約 6 小時內沒有看到嘗試。

這是錯誤 4740,協議重複登錄請求中提供的工作站名稱,而不是驗證它。

開啟NTLM身份驗證審計,查看日誌“Applications and Services Logs\Microsoft\Windows\NTLM\Operational”中的4776失敗,查看真實來源。

由於呼叫方電腦名稱是“工作站”,我懷疑這是一個欺騙性請求,您將有興趣了解嘗試的實際來源發生了什麼

引用自:https://serverfault.com/questions/861817