我去年build立了一个Windows 2008 R2服务器,自从我的帐号每天locking10-12次以来。 经过大量研究和testing,我发现服务器在每次尝试更新组策略失败时都会locking我的帐户(大约每90分钟一次)。 我发现网上没有任何信息表明其他人看到了这一点,我自己也觉得不可思议。
每次在服务器上logging3个系统事件:
事件ID 14:存储在Credential Manager中的密码无效。 这可能是由用户从这台计算机或另一台计算机更改密码引起的。 要解决此错误,请在“控制面板”中打开Credential Manager,然后重新input凭证contoso \ me的密码。
凭证pipe理器中没有条目。 无论是否禁用凭证pipe理器服务,无论是否login,是否注销并使用本地pipe理员帐户删除我的configuration文件,都会发生这种情况。
事件ID 40960:安全系统检测到服务器cifs / ContosoDC.contoso.com的身份validation错误。 validation协议Kerberos的失败代码是“用户帐户已被自动locking,因为已经请求了太多无效的login尝试或密码更改尝试(0xc0000234)”。
–
事件ID 1058:
组策略的处理失败。 Windows尝试从域控制器读取\ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini文件,但未成功。 在解决此事件之前,可能不会应用组策略设置。 此问题可能是暂时的,可能是由以下一项或多项原因造成的:a)名称parsing/networking连接到当前域控制器。 b)文件复制服务延迟(在另一个域控制器上创build的文件尚未复制到当前的域控制器)。 c)分布式文件系统(DFS)客户端已被禁用。
我检查了项目ac,似乎没有这样的情况。
我已经通过检查用户帐户没有被locking,在服务器上运行gpupdate,然后重新检查立即locking的用户帐户进行了彻底的testing。 我已经使用locking工具来揭示所有的locking来自这个特定的服务器。 用户帐户没有关联的电子邮件地址,我已经广泛研究了已知locking问题的常见arrays。
任何线索对我来说? 我正在准备取消这个生产服务器,并在AD中重置它的计算机对象,但我不知道这会有所帮助。
显然,在凭证pipe理器中可能会有密码不显示。 或者,引用这个链接 :
有一些密码可以存储在SYSTEM环境中,在普通的Credential Manager视图中无法看到。
从http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx下载PsExec.exe并将其复制到C:\ Windows \ System32。
从命令提示符处运行:
psexec -i -s -d cmd.exe从新的DOS窗口运行:
rundll32 keymgr.dll,KRShowKeyMgr删除存储的用户名和密码列表中出现的任何项目。 重新启动计算机。
希望能解决你的问题。
如果凭证pipe理器没有帮助,我会尝试将系统放入没有任何GPO的OU进行testing。
如果问题仍然存在,则它与默认域GPO(一个适用于整个域或不与GPO相关的GPO)有关。 无论哪种方式,这可以帮助限制search的范围。
从cmd提示符下,使用gpupdate来testing更改,而不必等待,并使用gpresult / R查看应用于系统的GPO。
如果您认为仍然涉及GPO,请使用WMI筛选器来阻止应用GPO。
另外请注意,在站点级别可能会应用GPO,但是您将在gpresult输出中看到这些GPO。
如果您能够通过减lessGPO来限制locking,则将它们添加到OU中,以便find原因的一部分。 然后研究那个GPO来find解决scheme。
这里还有一个列表,我检查帐户被locking时,我已经知道它来自的系统。 服务计划任务映射的驱动器Web应用程序VM控制台KVM控制台RDP会话脚本PW帮助程序应用程序VPN连接其他连接到电子邮件的设备远程桌面工具运行Credential Manager