如何找到Windows AD域中用户帐户锁定的原因

在最近与Outlook有关的事件之后，我想知道如何最有效地解决以下问题：

假定一个相当典型的中小型AD基础结构：几个DC，多个内部服务器和Windows客户端，几个使用AD和LDAP从DMZ内部进行用户身份验证的服务（SMTP中继，VPN，Citrix等）以及几个内部服务都依赖于AD进行身份验证（Exchange，SQL服务器，文件和打印服务器，终端服务服务器）。您拥有对所有系统的完全访问权限，但是它们太多了（计算客户端），因此无法单独进行检查。

现在假设由于某种未知的原因，每隔几分钟就会由于密码锁定策略而锁定一个（或多个）用户帐户。

• 找到负责此工作的服务/机器的最佳方法是什么？
• 假设基础结构是纯净的，没有附加管理工具的标准Windows，并且默认值几乎没有变化，是否有任何方法可以加速或改善查找此类锁定原因的过程？
• 如何针对这种帐户锁定DOS来提高系统的弹性？禁用帐户锁定是一个很明显的答案，但是您会遇到一个问题，即即使强制执行了复杂性，用户也有办法轻松利用密码。

添加一些我在给定的答案中看不到的东西。

找到负责此工作的服务/机器的最佳方法是什么？

您不能只查看PDCe上的“安全性”日志，因为尽管PDCe确实具有有关整个域的帐户锁定的最新信息，但它没有有关来自哪个客户端（IP或IP）的信息。主机失败）来自失败的登录尝试，假设失败的登录尝试发生在除PDCe之外的另一个DC上。PDCe会说“帐户xyz被锁定”，但不会说失败登录是否发生在域中的另一个DC上。只有实际验证登录的DC才会记录登录失败，包括客户端的地址。（也没有将RODC纳入此讨论。）

有两种很好的方法来找出当您有多个域控制器时失败的登录尝试来自何处。事件转发和Microsoft的帐户锁定工具。

我更喜欢将事件转发到中心位置。将失败的登录尝试从所有域控制器转发到中央日志服务器。这样，您只有一个地方可以在整个域中查找失败的登录。实际上，我个人并不真正喜欢Microsoft的帐户锁定工具，因此现在有一种好方法。

事件转发。你会爱上它。

假设基础结构是纯净的，没有其他管理工具的标准Windows，并且对默认设置的更改很少，是否有任何方法可以加快或改善查找此类锁定原因的过程？

往上看。然后，您可以使用监视系统（例如SCOM或Nagios或您使用的任何系统）来梳理单个事件日志，并用短信或其他内容炸毁手机。它没有比这更加速的了。

如何针对这种帐户锁定DOS来提高系统的弹性？

1. 用户教育。告诉他们停止将Windows服务设置为在其域用户帐户下运行，完成后注销RDP会话，教他们如何清除Outlook缓存密码的Windows凭据保险柜，等等。
2. 在此处可以使用托管服务帐户，以便用户不再需要管理这些用户帐户的密码。用户把一切都弄糟了。如果您给用户一个选择，则他或她总是会做出错误的选择。所以不要给他们一个选择。
3. 通过GPO强制执行远程会话超时。如果用户在RDP会话中闲置了6个小时，请踢开他们。

不久前在较大的环境中清理管理员帐户时，我们遇到了同样的问题。尽管DC审核日志从技术上提供了所需的信息，但我们还是决定实施ManageEngine的ADAudit Plus产品，该产品会扫描这些日志并查找登录尝试以及AD中的任何更改。使用内置的报告功能和一些Excel工作，我们能够（非常容易地）跟踪登录的来源。在我们的案例中，这主要与实现各种应用程序时使用管理员帐户而非服务帐户的管理员有关。

如何针对这种帐户锁定DOS来提高系统的弹性？

你不能

有很多东西可以烧毁你的房子。就像简单的代码一样，重复请求IP地址，直到DHCP作用域耗尽为止。或者简单的代码创建目录，直到MFT满了，您必须重新格式化分区才能还原它。您无法防范一切。

与锁定相比，更常见的情况是，与几年前相比，人们在各种各样的设备中输入其凭据的人。例如打印机（用于电子邮件扫描）或智能手机或平板电脑。如果他们忘记了输入凭据的位置，或者他们再也无法访问该设备，则该设备可能会永远继续尝试身份验证。电子邮件身份验证是跟踪这些设备的一个艰难途径，即使您这样做，用户也可能无法访问它或知道它在哪里。IP 10.4.5.27？我知道有一位用户每天必须致电服务台来解锁其帐户，然后他们立即登录，然后其帐户再次被锁定。他们做了几个月。我告诉他们重新命名他们的帐户。

生活有抑制因素，我们不能消除所有因素。