最近不知道咋了，好多客戶的AD賬號經常被鎖，而且近期我在51CTO的論壇內也發(fā)現有朋友在問，AD賬號被鎖定了，可以查到在哪個IP，或哪個客戶端鎖定的嗎。

10年積累的成都網站制作、成都做網站經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先制作網站后付款的網站建設流程，更有鐘祥免費網站建設讓你可以放心的選擇與我們合作。

?

其實微軟在早期發(fā)布過一款工具，這款工具是可以查到在哪個域控上鎖定的，然后通過日志大致可以定位到鎖定的客戶端，這款工具叫做：Lockoutstatus

Lockoutstatus下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=15201

?

• 今天簡單給大家介紹下如何利用這款工具逆向追蹤到鎖定的客戶端的。廢話不多說，首先我們下載Lockoutstatus，并拷貝到任意一臺域控服務器上，安裝我就不過多介紹了，其實就是一路下一步，但需要大家記住的是下面這個截圖，也就是您的安裝路徑，因為一會安裝完成后需要到這個路徑下找到安裝完成的應用程序，程序自身不會創(chuàng)建快捷方式。

• 安裝完成后大家可以手動創(chuàng)建一個快捷方式。

• 為了演示，我隨便使一個賬號鎖定，如圖所示：

• 那么接下來，我們雙擊剛才安裝完成那個軟件，如圖所示：

• 點擊文件選項File，選擇目標Select Target

• 在目標用戶名列寫出需要查詢的域賬號（被鎖賬號），點擊OK

• 掃描完成后，你可以找到很多賬號鎖定信息，包括DC名，站點，賬號狀態(tài)，錯誤密碼計數器，和最后一次錯誤密碼時間。（由于我這是測試環(huán)境，只有一臺AD，真實環(huán)境會有很多，一定要找那個最后一次錯誤密碼時間）

• 找尋到最后一條錯誤時間記錄，并找到相應的DC名，登錄到這臺域控。

• 登錄后打開事件查看器，選擇安全日志（如果時間長了的話，可以找日志備份）

• 如果日志太多，可以使用篩選功能進行查找。

• 根據剛才工具提示，我的測試賬號是在13:22:10鎖定的，所以我就找這個時間的日志。

• 我們可以清楚的看到，我的賬號是在EXSRV01這臺計算機上鎖定的。
  

• 其實到這里還算結束，其實我們是可以看到最后一次登錄這臺（EXSRV01）電腦的用戶是誰。

• 用管理員權限打開Power Shell,然后輸入一下命令來查詢是哪個賬戶在登錄當前這臺終端機。

get-wmiobject -computername 計算機名稱 win32_computersystem | format-list username

• 系統最終查詢出的賬號是 ITSoul\Administrator

• 也就是說，目前這臺名為EXSRV01的客戶機是域用戶Administrator正在使用。

親們剩下的就是你們可以指著用戶的鼻子質問他了。