A conta de um usuário continua sendo bloqueada no Active Directory. Provavelmente é causado por um aplicativo que está usando a autenticação do Windows para se conectar ao SQL Server.
Existe uma maneira de descobrir qual aplicativo está causando isso e por que o aplicativo pode estar causando tentativas de login com falha?
Dê uma olhada nas Ferramentas de Gerenciamento e Bloqueio de Conta disponíveis no Centro de Download da Microsoft. Especificamente LockoutStatus.exe e EventCombMT.exe. Você pode não ser capaz de identificar exatamente de onde vem o bloqueio, mas deve ser capaz de reduzi-lo um pouco para facilitar a visualização.
Aqui estão mais alguns artigos da Technet que podem ajudar:
Manutenção e monitoramento de bloqueio de
conta Ferramentas de bloqueio de conta (descrição das ferramentas no download vinculado acima)
Usando o Netlogon.dll verificado para rastrear bloqueios de conta
Ativando o log de depuração para o serviço Net Logon
Basicamente você precisa das seguintes informações
Para descobrir primeiro, quando a conta for bloqueada, vá para o controlador de domínio primário do seu domínio e procure o ID do evento 644 no log de segurança , que fornecerá o nome da máquina do chamador. Anote o nome da máquina e a hora em que o evento foi gerado.
Para encontrar o processo ou atividade, vá para a máquina identificada no ID do evento acima e abra o log de segurança e procure pelo ID do evento 529 com detalhes da conta bloqueada. Nesse caso, você pode encontrar o tipo de logon que deve informar como a conta está tentando autenticar.
Detalhes do Evento 529
Detalhes do Evento 644
Estou trabalhando no service desk há cerca de 4 anos, se nenhuma das opções acima resolver seus problemas de bloqueio, tente colocar o usuário afetado em uma seção "política de grupo não aplicada" do AD (para habilitar o acesso ao painel de controle de sua conta) e, em seguida, faça o login e vá para o painel de controle, procure por Credenciais e clique em "Credenciais". O que vai aparecer são todas as credenciais armazenadas nos computadores (geralmente há uma que está desatualizada, ou seja, incorreta), remova todas as entradas do "cofre" e isso deve resolver o problema sem mais problemas. O único efeito colateral disso é que o usuário terá que reinserir suas credenciais na próxima vez que usar o aplicativo. Espero que ajude algumas pessoas por aí
Eu tive um aluno em uma classe do PowerShell que fez uma pergunta semelhante. Ele precisava saber como localizar o cliente em que as contas estavam sendo bloqueadas. Encontramos a resposta usando uma combinação de auditoria e PowerShell. Abaixo está um link para as instruções e código.
http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html
Este tópico é muito antigo, mas eu só queria compartilhar uma ferramenta útil se alguém tiver o mesmo problema ler este tópico no futuro.
Lockout fixer é uma ferramenta gratuita que permite determinar rapidamente de onde vêm as credenciais inválidas.
Depois de descobrir a estação de trabalho de origem usando a ferramenta acima, descobrir qual aplicativo está causando o problema deve ser um pouco fácil...
Além disso, verifique os serviços, tarefas agendadas, senhas de rede salvas, senhas do navegador, unidades de rede mapeadas etc...