In der Regel wird ein Benutzer nach einer gewissen Anzahl von fehlerhaften Login Versuchen gesperrt. Meist ist dabei die Ursache der Benutzer selbst oder ein Gerät des Benutzers (z.B. Outlook auf dem Smartphone) das eine Authentifizierung durchrühren möchte. Hat der Benutzer das Passwort jedoch nicht angepasst wird er gesperrt.
Nun, wie lässt es sich herausfinden welches Gerät für die Sperrung des Accounts verantwortlich ist?
Lösung:
Melde Dich auf dem Domain Controller der betroffenen Domain an und öffne den Event Viewer.
In der linken Spalte unter Windows Logs einen Rechtsklick auf Security machen und auf Filter Current Log… klicken.
Bei Logged die entsprechende Zeitspanne auswählen (ggf. beim User Nachfragen zu welchem Zeitpunkt das Problem aufgetreten ist).
Und die Event ID 4740 eingeben
Mit Ctrl + F kann die Ausgabe falls benötigt noch weiter gefiltert werden.
Welches Gerät (Client, Server, Smartphone etc.) den Benutzer gesperrt hat ist unter Caller Computer Name ersichtlich.