"Учетная запись заблокирована" событие безопасности в полночь
Последние три ночи я получил в журнале событие с кодом 539... о моей учетной записи:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 539
Date: 2010-04-26
Time: 12:00:20 AM
User: NT AUTHORITY\SYSTEM
Computer: SERVERNAME
Description:
Logon Failure:
Reason: Account locked out
User Name: MyUser
Domain: MYDOMAIN
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: SERVERNAME
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
Это всегда в течение полуминуты полуночи. До этого нет попыток входа в систему. Сразу после этого (в ту же секунду) есть запись аудита успеха:
Logon attempt using explicit credentials:
Logged on user:
User Name: SERVERNAME$
Domain: MYDOMAIN
Logon ID: (0x0,0x3E7)
Logon GUID: -
User whose credentials were used:
Target User Name: MyUser
Target Domain: MYDOMAIN
Target Logon GUID: -
Target Server Name: servername.mydomain.lan
Target Server Info: servername.mydomain.lan
Caller Process ID: 2724
Source Network Address: -
Source Port: -
Идентификатор процесса был одинаковым на всех трех, поэтому я посмотрел его и сейчас, по крайней мере, он сопоставляется с TCP/IP Services (Microsoft).
Я не верю, что я изменил какие-либо правила или что-то еще в пятницу. Как я должен интерпретировать это?
4 ответа
У вас есть задача расписания, которая запускается под вашей учетной записью, которая подключается к общему ресурсу в полночь? Событие с кодом 552 (второе событие) обычно генерируется, когда пользователь (в данном случае система) использует runas для запуска процесса в качестве другой учетной записи.
Однако при ближайшем рассмотрении идентификатор входа в систему: (0x0,0x3E7)- показывает, что служба является олицетворением. Присмотритесь к услугам на машине. Вы также можете получить это, если другой компьютер сопоставляет диск с вашими учетными данными и срок действия сохраненных учетных данных истек. Так как сервис был tcpip, я ставлю свой никель сейчас.
Блокировка учетной записи может быть проблемой для устранения неполадок. Моим первым рекомендацией было бы получить инструменты блокировки учетной записи от Microsoft.
Используя эти инструменты, вы можете выяснить, какие из ваших контроллеров домена фактически блокируют учетную запись. Оттуда вам нужно будет сделать некоторое наблюдение в журнале безопасности, чтобы выяснить, какой сервер вызывает блокировку, а затем вы можете выяснить, что на этом сервере блокирует вашу учетную запись.
Скорее всего, это автоматизированное событие, например, служба, работающая под вашими учетными данными. Запрыгивай на сервер и сортируй services.msc через поле Вход в систему и посмотрите, находитесь ли вы там.
Возможно, вы установили программу или службу с вашим идентификатором пользователя. Скорее всего, это программное обеспечение для резервного копирования или любой подобный сервис / задача. Вы не можете найти все запланированные задачи из "Запланированных задач", просмотреть ваши автоматизированные службы, IIS, Backup Exec и т. Д.