Заблокировались учетные записи почти всех пользователей.
 

Вин 2008R2.
Заблокировались учетные записи пользователей (почти всех, за небольшим исключением).
Вижу массу событий такого вида в течение нескольких секунд:

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: SERV-NEW\Igoshev
Имя учетной записи: Admin1
Домен учетной записи: SERV-NEW
Код входа: 0x84e282b

Тип входа: 2

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: User1
Домен учетной записи:

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x581c
Имя процесса вызывающей стороны: C:\Windows\System32\dllhost.exe

Сведения о сети:
Имя рабочей станции: SERV-NEW
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

После 3-х попыток учетная запись блокируется.
Admin1 и User1 - реальные учетные записи реальных людей. Admin1 вполне мог что-то делать на сервере.
Что это было?

брутфорсе и отработка групповых политик, что ж еще. Случаем не RDP с прямым пробросомв интернет? Не пробовал имена пользователей брать не из словаря брутфорсеров? ;) По возможности переименуй в нечто более сложное и пароль адекватной сложности всем придумай.

Ну, Admin1 и User1 - это только для публикации на форуме. В действительности это нечто вида Goldenshuher_IA... :-) И пароли норм.

RDP с подключением по VPN.

Я правильно понимаю, что у Admin1, который и подключался по VPN сидит на компе какая-то зараза, которая и пыталась сделать пакость?

вполне возможно. Либо ПК, на котором есть вход с ВПНом, использовался кем-то, отличным от Админ1, но желающим им стать)

или потрёпанная временем вин 7, лохматых годов, без обновлений с игрушками и "улучающими работу ПК" программами.