Antes de mais nada, verifique o sintoma em um ambiente de inicialização simples para solucionar se o problema é causado por um serviço de terceiros.
Poderíamos tentar usar a ferramenta Process Explorer para analisar o serviço "WmiPrvSE.exe".
Numerosas vezes por hora, um usuário no domínio a está sendo bloqueado pelo WmiPrvSE.exe. Digging no log de eventos no servidor que está bloqueando o usuário, ele mostra que WmiPrvSE.exe está usando credenciais explícitas, ao contrário de uma conta de sistema local. Examinando os processos e serviços, todos eles dizem que estão usando uma conta do sistema local. No entanto, o bloqueio continua acontecendo a partir desse processo.
Existe uma maneira de remover as credenciais do usuário do processo para evitar que isso aconteça daqui para frente? Eu removi quaisquer vestígios do usuário do servidor (perfis de usuário, credenciais armazenadas, etc).