如何在活动目录里发现域帐号经常被锁定源

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在活动目录里发现域帐号经常被锁定源相关的知识,希望对你有一定的参考价值。

最近部门总监的域帐号经常被锁住,总解锁也不是一个办法,需要判断是哪台设备上触发了这个锁域帐号这个事。

办法有很多,我只说一个。用POWERSHELL办法。

到域控制器上,运行命令:
Get-WinEvent -FilterHashtable @{logname=‘security‘;id=4740}

呵呵,会看到好多吧。

技术图片

然后你肯定想看看是谁引起的。
用以下POWERSHELL命令
Get-WinEvent -FilterHashtable @{logname=‘security‘;id=4740} | fl

技术图片

你会看到Caller Computer Name,通过这个值就能抓出来是哪台电脑引起的。
如果在你们公司有人恶意猜测别人的密码,你可以找到计算机帐号,然后由计算机帐号就能找到谁在干坏事。

以上是关于如何在活动目录里发现域帐号经常被锁定源的主要内容,如果未能解决你的问题,请参考以下文章

构建与环境域用户和组

Windows server 2016 活动目录备份及恢复

在活动目录中,转移和占用操作主机角色(占用)

在活动目录中,转移和占用操作主机角色(转移)

ssh锁定(chroot)普通账号的活动目录

活动目录