1

Я знаю, КОТОРЫЕ пользователи постоянно блокируются из-за неправильных попыток ввода пароля, и они приходят только со своего компьютера (используя старый устаревший инструмент блокировки учетной записи MS и другие, чтобы выяснить это), я не знаю, что является источником из них на компьютерах, о которых идет речь Это происходит даже тогда, когда их компьютер просто сидит и ничего не делает. (они могут иметь открытые программы, но для них нет удаленного рабочего стола или живого человека, сидящего за рабочей станцией)

Кажется, он отправляется в DC примерно каждые 15-30 минут, но зависит от пользователя. Я сбросил номер блокировки на 20, чтобы они не были заблокированы постоянно, но я бы хотел найти решение по-настоящему.

Запланированные задачи не выполняются вообще, они отключили все диски и переназначили их. Даже когда они были на месте, кажется странным, что в любом случае это вызовет столько попыток за один час.

Все машины имеют Windows 7 с последними обновлениями и запускают вирусы, вредоносные программы, сканеры шпионских программ, но ничего не найдено.

У нас есть размещенный обменный счет в Rackspace, поэтому он не подключен к DC. (если я что-то здесь упускаю)

|источник

4 ответа4

1
  1. Проверьте журнал событий на компьютере соответствующего пользователя, вам может повезти и найти неудачные попытки там.
  2. Заставьте пользователя добровольно участвовать и запускайте Process Monitor на своем компьютере до тех пор, пока проблема не будет воспроизведена. http://technet.microsoft.com/en-us/sysinternals/bb896645 (включите ведение журнала на диск, получите от них файл и т. д.)
  3. Вы можете опросить нескольких пользователей и посмотреть, есть ли какая-нибудь программа, которую они все запускают, может, та, которая запоминает их пароль или что-то в этом роде. Они все недавно сменили пароль?
  4. Может потребоваться прибегнуть к запуску Netmon (возможно, есть более новые версии, не знаю) на одном из их компьютеров и проверить сетевой трафик, чтобы определить, какой процесс отправляет попытку входа в систему.
|источник
1

Я не уверен, будет ли он работать с Server 2008, но у Microsoft есть некоторые инструменты для Server 2003, чтобы отслеживать такое поведение.

Они называются инструментами блокировки учетной записи, и вы можете загрузить их с http://www.microsoft.com/en-us/download/details.aspx?id=18465 или ознакомиться с ними по адресу http://technet.microsoft.com. /en-us/library/cc738772(v=ws.10).aspx

Один из инструментов будет сканировать журнал событий на контроллере домена в поисках ошибок аудита и сообщит имя устройства, которое инициирует запрос.

|источник
1

В этой статье приведен пример отслеживания блокировки аккаунта.

Надеюсь, что это поможет.

http://teachnovice.com/527/account-lockout-on-windows-2003-2008-dc

http://teachnovice.com/894/user-account-lockout-everyday-windows-7-windows-2008-r2

|источник
0

Это Outlook 2010. У меня был пользователь, который открывал и закрывал только эту программу, и потребовалось несколько секунд, чтобы подключиться к серверу, а затем, когда я запустил Lockoutstatus (из инструментов блокировки учетной записи), каждый "плохой пароль" совпадал с точным временем, когда он открыл Outlook , Это было от 3 до 5 "неудачных попыток" на открытие, но не на одну.

Мы используем Rackspace Hosted Exchange 2010, хотя. Мы используем то же имя firstname.lastname@notrealdomain.com, что и для входа на наш контроллер домена. Итак, я matt.hughes@notrealdomain.com и я также подключаюсь к нашему DC как matt.hughes

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .