我的使用者帳戶被某人永久鎖定
我在數據中心的管理員帳戶被永久鎖定,我必須用我們的通用數據中心管理員一次又一次地解鎖它。我希望它停止,但我不知道是誰鎖定了我的帳戶以及發生在哪台機器上。
我們的數據中心有幾台 Server 2003、2008 和 2008 R2 伺服器。我們的 3 個域控制器執行 2 個 Server 2008 和 1 個 Server 2008 R2。
如何從哪個客戶端追踪我的使用者在哪個伺服器上被永久鎖定?
**更新:**使用LockOutStatus.exe我發現上次鎖定時間是 13:19。此時,我在我們的 DC 上登錄了 EventID 4771。它告訴我我們的一個終端伺服器的客戶端地址,服務名稱為“krbtgt/domain”,失敗程式碼為 0x18,預驗證類型為 2。
我在該終端伺服器上查找錯誤,但沒有發現一些與 Kerberos 相關的錯誤。我確實在該終端伺服器的 Systemlog 上發現了與 GPO 相關的錯誤:EventID 1006 ,錯誤程式碼為49。事實上,我這次是在這個終端伺服器上登錄的。但不是明天。這不會是“根本錯誤”。任何 thouhts 怎麼做才能找到問題?
**更新/解決:**在我的使用者使用舊憑據登錄(但斷開連接)的幾台伺服器上有 4 個會話。我使用 LockOutStatus.exe 來查找我的使用者上次被鎖定的時間。然後我查看了安全日誌,發現了一個 ID 為 4771 的事件,其中包含導致我的使用者鎖定的客戶端 IP。我註銷了會話,解鎖了我的使用者帳戶並等待下一個會話/伺服器鎖定我的使用者。我重複了一遍,直到我的使用者沒有再次被鎖定。
謝謝你的好答案和提示:)
您是否可能與該伺服器上的使用者帳戶斷開了會話?如果您最近更改了密碼,那麼伺服器/工作站上任何斷開但處於活動狀態的會話都可能導致類似的結果。
如果不:
除了登錄跟踪之外,我還會嘗試啟用程序跟踪。這將使您能夠查看在登錄失敗以及最終發生鎖定時啟動了哪個程序。
在 Win2k8 上,這些事件 ID 在程序啟動時為 4688,在程序退出時為 4689。不過,破譯這可能有點棘手。
您可以嘗試安裝EventSentry(我隸屬於)的評估版本,它將登錄和處理數據標準化並將其儲存在數據庫中以便於搜尋。例如,您可以查看當時正在執行的程序、搜尋跨多個伺服器的登錄事件等等。但是,僅為此目的設置 EventSentry 可能是矯枉過正。
您是否檢查了您的計劃任務以確保您的使用者帳戶下沒有配置任何任務?