Evento di sicurezza "Account bloccato" a mezzanotte

Gli ultimi tre mesi in cui ho ottenuto un ID evento 539 nel registro … sul mio conto personale:

Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff Event ID: 539 Date: 2010-04-26 Time: 12:00:20 AM User: NT AUTHORITY\SYSTEM Computer: SERVERNAME Description: Logon Failure: Reason: Account locked out User Name: MyUser Domain: MYDOMAIN Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: SERVERNAME Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: - Source Port: - 

È sempre entro mezz'ora di mezzanotte. Non ci sono tentativi di accesso prima di esso. Subito dopo (nello stesso secondo) c'è una voce di audit di successo:

 Logon attempt using explicit credentials: Logged on user: User Name: SERVERNAME$ Domain: MYDOMAIN Logon ID: (0x0,0x3E7) Logon GUID: - User whose credentials were used: Target User Name: MyUser Target Domain: MYDOMAIN Target Logon GUID: - Target Server Name: servername.mydomain.lan Target Server Info: servername.mydomain.lan Caller Process ID: 2724 Source Network Address: - Source Port: - 

L'ID di process era lo stesso su tutti e tre, quindi ho cercato, e in questo momento alless mappe a servizi TCP / IP (Microsoft).

Non credo di aver cambiato politiche o qualcosa del venerdì. Come devo interpretare questo?

4 Solutions collect form web for “Evento di sicurezza "Account bloccato" a mezzanotte”

Avete un task di pianificazione che viene eseguito sotto il tuo account che si connette a una quota a mezzanotte? L'ID evento 552 (il secondo evento) viene generato solitamente quando un utente (in questo caso il sistema) utilizza runas per eseguire un process come un altro account.

Tuttavia, con un approfondimento, l'ID di accesso (0x0,0x3E7) mostra che un servizio è quello che fa la rappresentazione. Date un'occhiata più da vicino ai servizi della macchina. Puoi anche get questo se un'altra macchina sta mappando un'unità con le credenziali e le credenziali salvate sono scadute. Dal momento che il servizio era tcpip che è where sto scommettendo il mio nickel adesso.

I bloccaggi dell'account possono essere un problema per risolvere i problemi. Il mio primo suggerimento sarebbe quello di get gli Strumenti di block account da Microsoft.

Utilizzando questi strumenti è ansible capire quale dei tuoi DC stanno effettivamente bloccando l'account. Da lì dovrai fare un po 'di snoop nel registro di sicurezza per capire quale server sta causando il block, quindi puoi capire cosa su quel server sta bloccando il tuo account.

È probabile un evento automatizzato, come un servizio in esecuzione nelle credenziali. Hop sul server e ordinare services.msc dal field Logon come e vedere se sei lì.

Potresti aver installato un programma o un servizio con il tuo ID utente. Probabilmente questi sono software di backup o qualsiasi altro servizio / attività simile. Non è ansible trovare tutte le attività schelled da "Attività pianificate", rivedere i servizi automatizzati, IIS, Backup Exec ecc.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.