因此,我有3个域帐户,在过去2周中,该帐户在一天当中一直处于随机锁定状态。昨天我在PDCEmulator角色持有者的事件日志中注意到,它已随event:4740一起加载。就像我们每10分钟谈话一次,这样就记录了事件并锁定了用户。 我已经检查了两个用户计算机,并且在凭据管理器中没有保存的凭据,没有保存凭据的计划任务..没有随机的Outlook配置文件..我什么都找不到。
因此,我获取了一份Netwrix Lockout Examiner副本,启用了所需的所有审核日志记录,即使结果也不起作用。这是我从Netwrix看到的内容,所有3个用户都是相同的:https://ibb.co/VWBX2Z7
所以我做了一些谷歌搜索,并启用了调试Netlogon日志记录功能,但是发现了一些我不知道这意味着什么的东西。
06/11 10:13:03 [登录] [5740]:SamLogon:的网络登录 来自\ D-NB-W10中的\ d-nb-w10 $(通过NETAPPA)输入06/11 10:13:03 [登录] [5740]:SamLogon:的网络登录 \ D-NB-W10中的\ d-nb-w10 $(通过NETAPPA)返回0xC0000199
现在,这是有问题的用户之一的主机名,并且他有一个驱动器映射到Netapp文件管理器。但是C0000199对我而言是令人担忧的,因为我正在读取可能意味着使用本地帐户还是域帐户的地方。