Добрый день всем форумчанам
Вообщем косяк небольшой сменил пароль на учетке админиской сервака теперь она блокируется постоянно её я использовал также при удаленном рабочем столе для внутренней СБ но теперь отключил удаленный стол а учетка все равно блочится влогах пишет что блочит сам сервак (ошибка 644) есть второй контроллер домена там тоже отключил уд.стол че за косяк не знаю а вернее может кто знает как определить что блочит конкретно. есть задачи в планировщике, уже поменял на новый пароль не помогло.

Возможно, какая-то программа пытается получить доступ к ресурсам со старым паролем. DHCP есть на сервере? Там тоже в доп. параметрах логин и пароль вводятся для обновления зон DNS

DHCP есть но не нашел где в доп параметрах логин и пароль просто галки автоматического обновления записей

Свойства DHCP сервера -> Другие -> Учетные данные регистрации в динамичесской ДНС

Спасибо там изменил.Мне кажется тут еще привязка к расшаренной папке этот сервак еще как файл сервер.Просто был глук иногда пользователь толи не правльно индетефецировался то ли еще какайто хня вообщем при оборащении к расшаре он требовал логин и пароль хотя сама учетка сетевая ну вообщем заходил на шару под админиской учеткой ну с которой ща баг видать привязка сохранилась и при измене пароля они сами то го не подозревая блочили её у пользователей поинтересовался ивпрям они сказали какаято хня происходит то пускает на шару то нет (периоды когда я разблочивал) (просто владелец этой шары та учетка) ну вообщем там тоже изменил пока проверяю как система работает. Да и влогах заметил в ночное время суток учетка блочиться 1 раз в час строго видать какаято служба работает никто не знает чтотможет использоваться 1 раз в час п при условии что оно исрлльзует админискую учетку

В логах то ничего нету? В журнале безопасности? Аудит по теории должен показать

Аудит по теории должен показать
в смысле что такое и счем едят

панель управления -> Администрирование -> Локальная политика безопасности -> Локальные политики -> Политика Аудита, включить необходимое, результат в журнале безопасности.

Аудит по теории должен показать »
Вряд ли... Он укажет имя компьютера с которого происходит аутентификация и имя пользователя. Не более. Имя службы не даст, естественно. Проверьте нет под этой учеткой настроенный VPN, POP3 клиентов etc.
По идее, в логах системы и приложений могут появиться ошибки, что служба не смогла запуститься, ибо Access Denied

Security лог надо смотреть, в принципе

Security лог надо смотреть, в принципе »
Тоже малоинформативно к сожалению...
Event Type: Failure Audit
Event Source: Security
Event Category: Account Logon
Event ID: 675
Date: 15.12.2008
Time: 15:02:59
User: NT AUTHORITY\SYSTEM
Computer: COMMUNICATOR
Description:
Pre-authentication failed:
User Name: user
User ID: DOMAIN.COM\user
Service Name: krbtgt/DOMAIN.COM
Pre-Authentication Type: 0x0
Failure Code: 0x19
Client Address: 10.10.12.30
Вот типичный пример события, совершенно непонятно, откуда ноги растут...

ДА ДА именно, тут фиг поймешь
ну вот день работую еще не заблочило тьфу-тьфу-тьфу
Вообщем вроде тема закрыта (Мои действия 1) с шарой разобрался там владелец была это учетка 2) DHCP изменил пароль на обновление DNS)
Всем спасибо надесюсь излечился