У нас есть пользователь, который постоянно блокируется. Мы проверили журналы в контроллеры домена, и вся показанная информация - то, что устройство WINDROID является источником. Как я могу знать, какое устройство вызывает это? Существует ли способ проанализировать это более глубоко?
Конечно. Полагаю, если это "устройство WINDROID", то проверьте почтовый сервер (Exchange?). включите на нем нетлогин:
nltest /dbflag:2080ffff
Файл Netlogon.txt создан в каталоге %systemroot%/debug directory
коррелирует временные метки внутри журнала со временем, когда происходит блокировка учетной записи...
Не забудьте отключить ведение журнала netlogon в конце
nltest /dbflag:0
Также Вы можете попробовать воспользоваться бесплатной утилитой Netwrix Account Lockout Examiner, которая упрощает исследование
.