2024年5月3日发(作者:)

近来有同事一早上就打电话报故障,PC无法登录,提示域账户被锁定。而且奇怪的是

每次就是那么几个人,频繁的出现此类情况,于是就开始了排查。

一、分析

可能性一: 病毒攻击

系统被植入恶意软件或者病毒,导致不断连接服务器,而被锁定

可能性二: 系统服务

某些系统服务可能设置成了用特定的域账号来启动,如果在对应的账号更新密码以后,

没有做相应的服务账户更新也会造成锁定。

可能性三: 域账户策略

账号锁定阀值设置的小,误操作导致账户错误可能极易造成锁定。

可能性四: 计划任务

计划任务可能设置成了用域账号来运行,可是更新域账户密码后并没有及时更新账号

的密码。

可能性五: SSO登录错误

集成域账户的应用(终端服务/远程桌面/网络打印/dot1x准入系统/无线验证

/Exchange邮箱)这些应用如果对应的账号改了密码,就可能导致登录用错误的身份去执

行程序并最终锁定账号。

可能性六: 共享域账户

有多个用户使用同一个账号,也许其中一个用户修改密码后,其它用户仍然用错误的

密码登陆,多次尝试错误登录造成账号锁定。

可是虽然如此,可是到底是who造成的呢?

我们要得到信息才行,如何获取,我们要用审计功能。

二、排查过程

开启账户登录审计功能

1.审核登录事件

成功/失败都生成时间记录