В логах я нашел два события по этому пользователю, в 15:08:35:
1) ID 4776 Credential validation
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: smirnova_e
Source Workstation: DC1
Error Code: 0xC000006A
2) ID 4625 Logon
An account failed to log on.
Subject:
Security ID:
SYSTEM
Account Name:
DC1$
Account Domain:
DOMAIN
Logon ID:
0x3E7
Logon Type:
3
Account For Which Logon Failed:
Security ID:
NULL SID
Account Name:
smirnova_e
Account Domain:
DOMAIN
Failure Information:
Failure Reason:
Unknown user name or bad password.
Status:
0xC000006D
Sub Status:
0xC000006A
Process Information:
Caller Process ID:
0x1e0
Caller Process Name:
C:\Windows\System32\lsass.exe
Network Information:
Workstation Name:
DC1
Source Network Address:
10.199.5.2
Source Port:
36543
Detailed Authentication Information:
Logon Process:
Advapi
Authentication Package:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Transited Services:
-
Package Name (NTLM only):
-
Key Length:
0
Кроме этого других сообщений не нашлось. И, как я писал выше, события 4770 (это же событие блока, верно?) в логе нет.
Пароль последний раз меняли 2 года назад. Сейчас еще раз проверил политику блокировки, стоит 0 (изменение было недавно в связи с массовой сменой паролей, раньше стояло 5 попыток). То есть это точно не блокировка из-за неверного ввода.
Остается вариант что кто-то из администраторов зачем то блокирует учетку. Это можно как-то отследить? Вообще может есть смысле повысить уровень логирования или того, что по умолчанию, должно быть достаточно?
