如何找出AD用户锁定其帐户的设备?有时用户登录到多个设备。因此,要找出哪个设备始终锁定帐户并不容易。
我已经在读取用户锁定帐户的时间了。见下文:
using (PrincipalContext pc_context = new PrincipalContext(ContextType.Domain, "domain", "someUser", "somePassword"))
{
UserPrincipal user = new UserPrincipal(pc_context);
PrincipalSearcher search = new PrincipalSearcher(user);
user.SamAccountName = samAccountName;
UserPrincipal resultUser = search.FindOne() as UserPrincipal;
}
有了这个属性:
resultUser.LastBadPasswordAttempt
我得到用户锁定帐户的时间。但是,我怎样才能知道发生了哪种设备?
答案 0 :(得分:0)
在域控制器的事件查看器中锁定了帐户。查看安全事件。你有时间,所以你可以在那个时候寻找事件。锁定帐户的事件ID为4740,因此您也可以按此过滤。
此处有更多信息:https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4740
如果您的域名有多个域名控制器,则必须查看每个域名控制器。