为什么域账户经常被无缘由的锁定？（done）

而且奇怪的是每次就是那么几个人，频繁的出现此类情况，于是就开始了排查。一、分析可能性一：病毒攻击系统被植入恶意软件或者病毒，导致不断连接服务器，而被锁定 可能性二： 系统服务某些系统服务可能设置成了用特定的域账号来启动，如果在对应的账号更新密码以后，没有做相应的服务账户更新也会造成锁定。可能性三： 域账户策略账号锁定阀值设置的小，误操作导致账户错误可能极易造成锁定。可能性四： 计划任务计划任务可能设置成了用域账号来运行，可是更新域账户密码后并没有及时更新账号的密码。可能性五： SSO登录错误集成域账户的应用（终端服务/远程桌面/网络打印/dot1x准入系统/无线验证/Exchange邮箱）这些应用如果对应的账号改了密码，就可能导致登录用错误的身份去执行程序并最终锁定账号。可能性六： 共享域账户有多个用户使用同一个账号，也许其中一个用户修改密码后，其它用户仍然用错误的密码登陆，多次尝试错误登录造成账号锁定。可是虽然如此，可是到底是who造成的呢？我们要得到信息才行，如何获取，我们要用审计功能。 二、排查过程开启账户登录审计功能1审核登录事件成功/失败都生成时间记录2审核账户登录事件3刷新策略4模拟错误登录5查看事件失败的登录事件 4771，这边我们就可以看到登录失败的客户端IP地址、域账户名称，由此就可以去远程登录管理或者电话询问当事人这边用的是域控制器的策略审计功能，真的很不错，也不需要借助于第三地方软件，绿色环保安全。以上是我工作中的使用的解决方法，感觉还可以，分享给大家。

　　这个操作对于广大使用Windows(包括xp/win7/2003/2008 R2 等windows 系统) 的上班族会有点用。

　　其一：如果是个人吧系统(win7、xp)上班时候打开电脑，自动登录，系统启动该自动运行的程序，然后自动锁定屏幕，安全又快速--趁这个时候去泡个茶啥的，回来就开工啦!

　　其二：对于使用服务器操作系统，那么有些服务器运行了关键应用程序，恰好又不是后台服务，那么就必须依赖于登录系统后才能启动应用程序，通过此方法可以将应用服务自动启动。不需要管理员登录系统。且保证了其它员工在不知道密码情况下不可以登录查看该服务器的数据等信息。

　　首先来看看系统启动自动登录的设置：

　　按住Win键，再按R键(Win+R)，启动"运行"窗口;

　　Windows XP/2003/2008/2008R2输入"control userpasswords2"(不含引号)回车;

　　Windows 7输入"netplwiz"(不含引号)，回车;

　　于"用户帐户"-"用户"界面中，取消"要使用本机，用户必须输入用户名和密码(E)"复选框;

　　按"确定"按钮，在弹出的"自动登录"窗口中输入自动登录用的用户名和密码(及确认密码);

　　按"确定"按钮以保存设置，自动登录至此设置完成。

　　然后是自动登录后自动锁定屏幕(XP/Win7/2003/2008 R2均相同)：

　　在桌面点击鼠标右键，选择"新建"-"快捷方式";

　　在弹出的"创建快捷方式"窗口中的"请键入对象的位置(T)"输入框中输入" %windir%\system32\rundll32exe user32dll,LockWorkStation "(不含引号);

　　按"下一步"按钮，为此快捷方式起个名字，如"锁屏";

　　将此快捷方式拖到(或复制到)"开始"菜单的"启动"中，至此自动锁屏设置完成。

服务器和客户端的效果基本上是一样的

家里面的电脑,晚上不用了之后,让它待机状态,

第二天早上,都发现屏幕黑屏、鼠标和键盘不亮，但主机还运行，

安装在电脑上的网站无法登陆。

在重新按一下开机键,

如果你的电脑开机设了密码123的话,屏幕上出现“此计算机正在使用,并被锁定……”对话框,

因为机子已经从待机状态到开机状态,鼠标和键盘当然可以正常使用，网站也可以登陆了

没有问题,你有服务器正常,这和你的家里面在客户端不一样的道理嘛

应该是那个网站的服务器记录了你的IP 或者是这个网站有问题

你试下用其他的电脑看会出现这问不

如果没有 那你这台电脑用下代理IP试试

应该与你的电脑没关系的 是网站的问题

如果不是网站的问题 那么

你可以使用Windows清理助手,

黄山ie修复工具

或者使用Sreng扫描出日志,发到安全区去

你是Adsl拨号上网的话,把猫重启一下,再拨号,更换ip试试

这个报警是由symantec endpoint protection的IPS模块报警

由于是网络恶意的密码尝试问题，所以本机是没有病毒的，有两种解决方法

1，对服务器cifs/SZ-DOMAIN1 进行病毒查杀，并安装杀毒软件。

2，在企业版SEPM控制台上设置

21策略-入侵防护-入侵防护策略-设置-在活动响应下将自动禁止攻击者的IP地址的勾去掉。

22 或者在以上界面上勾选启用排除主机在排除主机的设置中添加服务器cifs/SZ-DOMAIN1 的IP地址即可。

=======================

建议首先使用22方法，然后使用步骤1