找到锁域账号的元凶

域账号多次被锁，看起来是有人在狂试我的账号似的，解决办法记录一下。

 

 在ad控制器里，安全日志里做如下查找：

 

事件id：644

意思是Lockout事件。

内容：输入要搜索的账户名。不必输入域名。

 

查到到日志之后，看看内容里的来源工作站名。

 

去那个工作站上，查查有没有用此账户运行的定时任务、服务啥的。如果从前有，后来你改了口令，这些任务就不能运行了，可能会一遍遍用旧口令启动，最后达到次数上限锁定你的账号。

 

如果没有明显的此类任务，查查是不是有一种叫Downadup的病毒。这个病毒会利用rdp的一个安全漏洞感染机器，如果你改了用户口令，这个病毒会重试你的账号直到lockout.

从symantec网站上可以找到专杀工具。

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe

  

杀完病毒之后，可以按工具的提示去查看ms08-67安全公告，并下载补丁KB958644修复漏洞。

这个漏洞到从windows 2000 到 windows7 beta版和windows 2008 server为止都存在。在windows7 和windows 2008 Server r2开始不存在了。

 http://technet.microsoft.com/zh-CN/security/bulletin/ms08-067

要检查系统中有没有已经安装对应的补丁，可以检查KB958644是否安装。