none
某个ad账户频繁被锁定 RRS feed

  • 问题

  • 管理员账户频繁被锁

    日志名称:          Security
    来源:            Microsoft-Windows-Security-Auditing
    日期:            2018/11/5 13:03:53
    事件 ID:         4740
    任务类别:          用户帐户管理
    级别:            信息
    关键字:           审核成功
    用户:            暂缺
    计算机:           QXDC1.everesports.com
    描述:
    已锁定用户帐户。

    使用者:
    安全 ID: SYSTEM
    帐户名: QXDC1$
    帐户域: EVERESPORTS
    登录 ID: 0x3E7

    已锁定的帐户:
    安全 ID: EVERESPORTS\admis
    帐户名: admis

    附加信息:
    调用方计算机名: MSTSC
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4740</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>13824</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2018-11-05T05:03:53.770728600Z" />
        <EventRecordID>88581563</EventRecordID>
        <Correlation />
        <Execution ProcessID="568" ThreadID="5296" />
        <Channel>Security</Channel>
        <Computer>QXDC1.everesports.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="TargetUserName">admis</Data>
        <Data Name="TargetDomainName">MSTSC</Data>
        <Data Name="TargetSid">S-1-5-21-864151037-1281122950-3801842816-1114</Data>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">QXDC1$</Data>
        <Data Name="SubjectDomainName">EVERESPORTS</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
      </EventData>
    </Event>

    2018年11月5日 5:10

全部回复

  • 您好,

    根据您提供的4740日志,我们可以确定是MSTSC这台客户端输入了错误密码导致账户锁定,那么我们需要执行命令auditpol / get / category*以检查所有已启用的审核,检查Audit Account Logon Events – Failure是否被启用。如果没有,那么我们需要去启用该策略。

    GPO: 默认域策略

    路径: 计算机配置\Windows设置\安全设置\本地策略\审核策略

    策略:

       Audit Account Logon Events - Failure

    完成这些更改后,我们需要在所有DC上运行Gpupdate / force以刷新策略。

    这样以后,我们就可以通过分析事件日志找出哪个或哪些应用程序发送了错误密码。

    希望以上的信息能够对您有所帮助。

    Best regards,

    Lavilian


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已建议为答案 Lavilian Li 2018年11月12日 8:09
    2018年11月6日 3:44
  • 您好,

    请问我提供的信息有帮助到您吗?

    如果需要任何帮助,请随时在该贴下回复。

    Best regards,

    Lavilian


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月9日 9:45
  • 您好

    请问您的问题解决了吗?

    如果我提供的信息帮助您解决了问题,请标记为答案,以便社区中的其他成员快速找到答案。

    如果您自己解决了问题,请将解决方法与大家分享。

    如果有其他需要帮助的地方,请随时在论坛中提问。

    Best regards,

    Lavilian


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月12日 8:08