2024年5月3日发(作者:)
近来有同事一早上就打电话报故障,PC无法登录,提示域账户被锁定。而且奇怪的是
每次就是那么几个人,频繁的出现此类情况,于是就开始了排查。
一、分析
可能性一: 病毒攻击
系统被植入恶意软件或者病毒,导致不断连接服务器,而被锁定
可能性二: 系统服务
某些系统服务可能设置成了用特定的域账号来启动,如果在对应的账号更新密码以后,
没有做相应的服务账户更新也会造成锁定。
可能性三: 域账户策略
账号锁定阀值设置的小,误操作导致账户错误可能极易造成锁定。
可能性四: 计划任务
计划任务可能设置成了用域账号来运行,可是更新域账户密码后并没有及时更新账号
的密码。
可能性五: SSO登录错误
集成域账户的应用(终端服务/远程桌面/网络打印/dot1x准入系统/无线验证
/Exchange邮箱)这些应用如果对应的账号改了密码,就可能导致登录用错误的身份去执
行程序并最终锁定账号。
可能性六: 共享域账户
有多个用户使用同一个账号,也许其中一个用户修改密码后,其它用户仍然用错误的
密码登陆,多次尝试错误登录造成账号锁定。
可是虽然如此,可是到底是who造成的呢?
我们要得到信息才行,如何获取,我们要用审计功能。
二、排查过程
开启账户登录审计功能
1.审核登录事件
成功/失败都生成时间记录
发布评论