Server系列2：为什么域账户经常被无缘由的锁定？（done）

为什么域账户经常被无缘由的锁定？（done）

 

近来有同事一早上就打电话报故障，PC无法登录，提示域账户被锁定。而且奇怪的是每次就是那么几个人，频繁的出现此类情况，于是就开始了排查。

一、分析

可能性一：病毒攻击

系统被植入恶意软件或者病毒，导致不断连接服务器，而被锁定

可能性二： 系统服务

某些系统服务可能设置成了用特定的域账号来启动，如果在对应的账号更新密码以后，没有做相应的服务账户更新也会造成锁定。

可能性三： 域账户策略

账号锁定阀值设置的小，误操作导致账户错误可能极易造成锁定。

可能性四： 计划任务

计划任务可能设置成了用域账号来运行，可是更新域账户密码后并没有及时更新账号的密码。

可能性五： SSO登录错误

集成域账户的应用（终端服务/远程桌面/网络打印/dot1x准入系统/无线验证/Exchange邮箱）这些应用如果对应的账号改了密码，就可能导致登录用错误的身份去执行程序并最终锁定账号。

可能性六： 共享域账户

有多个用户使用同一个账号，也许其中一个用户修改密码后，其它用户仍然用错误的密码登陆，多次尝试错误登录造成账号锁定。

 

可是虽然如此，可是到底是who造成的呢？

我们要得到信息才行，如何获取，我们要用审计功能。

 二、排查过程

开启账户登录审计功能

1.审核登录事件

成功/失败都生成时间记录

2.审核账户登录事件

3.刷新策略

4.模拟错误登录

5.查看事件

失败的登录事件 4771，这边我们就可以看到登录失败的客户端IP地址、域账户名称，由此就可以去远程登录管理或者电话询问当事人

 

这边用的是域控制器的策略审计功能，真的很不错，也不需要借助于第三地方软件，绿色环保安全。

以上是我工作中的使用的解决方法，感觉还可以，分享给大家。