У меня большая проблема, мне нужна помощь, пожалуйста.
У меня есть домен Windows с AD и у него 10 DC в разных сетях. У меня есть один конкретный пользователь, который после смены пароля блокируется (срок действия пароля истечет).
Глядя в логи, я нашел 2 машины, он был отключен в RDP, и я вышел из него оттуда. В журналах было явно указано имя машины, поэтому это было легко, и контроллер домена для этого региона назовем DC4. Я только что вышел из него, и больше никаких журналов, говорящих об этих двух машинах.
Но он все равно залочен в DC5 и в логах написано просто имя компьютера контроллера домена и естественно он там не залогинен.
У нас есть много интеграций с другими приложениями, использование протокола LDAP для аутентификации пользователей и т. д. Мы в основном используем пользователей/группы AD для всего.
Я пытался использовать wireshark для просмотра некоторых журналов, но мне не повезло, может быть, я просто использовал плохой поиск по фильтру, но для некоторых интеграций у меня есть LDAPS...
Мы восстановили его пароль до того, как все это началось, и с ним, конечно, все в порядке, но нам нужно это выяснить.
Итак, есть ли другой способ проверить реальный источник блокировки аккаунта? В журналах Windows я искал идентификатор события 4740 и 4771. Для DC4 у него есть только 4740, что просто говорит о самом DC4. Я попросил его проверить, есть ли у него какой-нибудь скрипт или что-то еще, используя его учетную запись, но он не сказал ничего, что помнит.
У вас есть какие-нибудь рекомендации, ребята?
Учетная запись пользователя заблокирована. Тема: Идентификатор безопасности: SYSTEM Имя учетной записи: DC4$ Домен учетной записи: ДОМЕН Идентификатор входа: 0x3E7 Заблокированная учетная запись: Идентификатор безопасности: DOMAIN\user_here Имя учетной записи: user_here Дополнительная информация: Имя компьютера вызывающего абонента: DC4
Спасибо!
