最近应该有许多公司已经安装了 Windows 2008, 而很多使用者应该也陆续升级成 Windows 7/Vista, 通常在这种环境下都混合著 Windows 2003 与 Windows 2008 的网域控制站.
这种环境下, 常常会有使用者的帐号莫名其妙的被锁住, 为了确认这类型的问题您可以先至微软下载 Account Lockout Tools and Management.

这个工具可以协助您找出为何帐号被锁的原因, 以下步骤告诉您如何使用 ALTools:

1. 执行 LockoutStatus.exe.
2. 点选主选单 [File]-->[Select Target], 填入欲查询的使用者 Windows 帐号及网域, 若您的帐号已具备管理 AD 帐号的权限在 [Use Alternate Credentials] 则不需要勾选, 点一下[OK]即可开始查询.
  
3. 在查询结果的视窗内, 主要检视 Orig Lock 这一栏 (请记得, 在尚未找到 Lock source 之前请不要将帐号解锁), 此栏可以让您知道使用者的帐号在哪一个 DC 被锁定了.
4. 找到特定的 DC 后, 请登入到此 DC, 并检视 Security log, 就可以找到帐号被锁的原因.

 

在我们找出帐号被锁的原因后, 若您的环境如上所陈述, 使用混合型的环境 (Windows 2003/Windows 2008 DC, Windows XP/Windows 7/Windows Vista client), 可能您会发现事件 ID 675, 错误码 0x19, 这啥鬼, 怎么都没见过这种事件, 使用者也不曾打入错误的密码, 怎么无缘无故被锁了??

如果您遇到此类事件, 您可以在使用者的电脑上加入以下的 registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Name: DefaultEncryptionType
Type: REG_DWORD
Value: 23 (dec)/0x17 (hex)

重新开机后, 就应该可以解决使用者无预警被锁的问题了, 此问题造成的原因在于  Windows Vista 以后的版本支援 AES 128/256 Kerberos 认证, 但若您是混合型的环境若客户端向旧有的 Windows 2003进行认证, 旧会出现此类问题.

希望这篇文章对大家有帮助喔~~