AD用户频繁锁定处理实例-分享

        最近，公司内部分用户反映自己域账号被锁定，刚开始，未留意，因为账号锁定的问题比较常见，本以为是认为的密码设置错误所致，解锁后不再关注。今天早上到单位，发现网内大部分用户域账号都锁定了，有的用户账号居然刚刚解锁后又锁定。针对此想象，仔细分析，一般偶尔有用户反映帐号被锁属于正常，但是大规模被锁，我觉得肯定有问题了。随后，看了一下Log,发现675的很多，就是说在猜测密码比较多，我感觉应该是病毒的问题。网上收索了一遍，果然有相同故障的朋友再谈论类似事件。知道了是类似蠕虫----Downadup的病毒，这个蠕虫有个更好听的名字叫---confickER,
知道了原因，接下来要做的很简单，具体如下
1.客户端都打上ms08-067的补丁，不准漏网（未实现WSUS),只好放FTP，开用户权限，让他们自己装。（用户太多。自己弄不完。速度慢）
2.用Symantec的专杀，http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
3.把企业客户端的Symantec SAV都更新到最新版本，其实平时都是自动更新的，但是部分客户端还是有问题，一直未能解决
因为是周末，很多人都不知道此事，也就无法及时做以上操作，为了快速定位病毒机，使事态不再严重，（重要的是别让领导知道，考核俺）又做如下工作：
第一步，当帐号被锁时，用Lockoutstatus.exe工具来判断当时的登录服务器。
帐号被锁的那个相关DC会列出在Orig Lock这一列。
第二步，用eventcombMT.exe把有关Account Lockout的事件保存下来

1）填上Domain名称
2）选择DC
3）从菜单中选Searches-->Built In Searches --> Account Lockouts，这会自动给你在下面填上event id: 529, 644, 675, 676 和681
4）点Search
在output目录里面会生成一系列文本文件。
第三步，用Findstr.exe来搜索过滤这个文本文件。
Findstr.exe是windows安装好就自带的一个命令行工具
进入命令行工具后键入findstr /i user dc01-security_log.ext > .\user.txt
这样过滤后的有关该user的帐号被锁信息就被保存在了user.txt中
第四步，打开user.txt，查找644那行，看是在哪台电脑导致的account lockout
根据644所指，快速的找到了故障机。是单位某部门的好多机器，为防止事态扩大，将此网段网线拔掉，所后上门查看，发现故障机要么未装杀毒，要么未升级病毒库。
此次问题，也说明了杀毒软件升级的必要性。当然，WUSU也是一方面。希望将此次故障解决过程供大家参考，如果可以的话，尽量限制USB优盘的使用。
说了一堆，不知道大家看懂没。嘿嘿！！！
第五步，到登录那台电脑，查看有没有以下使用该帐号的情况
　　1) 自动的网络盘符映射
　　2) 用该帐号自动运行的scheduled task 或 service
　　3) 有没有没有断掉的terminal 连接
　　如果还是不能确定是哪个程序导致的帐号被lockout，那么在该电脑上安装alockout.dll，导入appinit.reg，注册该dll后，重新启动。等到下次帐号被锁时，就可以查看%winroot%debug下的log文件来看具体是哪个process在捣鬼。