我正面临一个问题,每天17:00左右4-5个域用户帐户被锁定.我认为问题来自正在运行的脚本…某处…问题是我无法确定哪个计算机/服务器尝试使用不正确的凭据登录.有没有办法找到这台机器的计算机名称/ IP?
我通常运气这样做:
>运行LockoutStatus.exe.
>输入用户名并找出哪个DC是锁定源(“Orig Lock”列)及其发生时间(“锁定时间”列).
>此时检查DC上的安全日志,您通常可以将其精确定位到特定计算机.
>一旦你拥有机器,它通常是:
>用户在其名称中运行计划任务,并且密码已更改.
>用户具有断开连接的RDP会话.
如果它每天在同一时间发生,我会说它几乎肯定是一个预定的任务.