Parece que um serviço ou uma unidade mapeada está usando a conta de administrador com a senha antiga. O log de erros deve mostrar o IP ou o nome do computador que tem o problema.
Desde que alterei a senha do administrador no meu domínio de trabalho, a conta de administrador fica bloqueada pela manhã quando os usuários começam a fazer login em seus computadores. Não tenho certeza por que um usuário que faz logon no seu PC tentaria usar a conta de administrador, mas continuo recebendo o Evento 675 com o código de falha 0x18. Depois de alguns desses logons com falha, a conta é bloqueada. O ID do usuário no erro é o administrador do domínio e o endereço do cliente é o endereço IP do computador do usuário.
Depois que todos estiverem logados pela manhã, a conta de administrador não será mais bloqueada. Isso só acontece durante o tempo em que todos fazem login. Eu não vi nenhum padrão quanto a computadores específicos que causam o bloqueio (por isso não suspeitar de uma tentativa de violação de segurança).
Alguma ideia de por que isso está acontecendo e como posso corrigi-lo?
Primeiro, eu sugiro que você dê uma olhada no log de eventos para o código de evento 4740, ele deve ter o nome do computador ou IP que causou o bloqueio.
Se o bloqueio for causado por computadores aleatórios, verifique-os em busca de credenciais armazenadas nos serviços, tarefas agendadas ou qualquer outro aplicativo que a senha armazenou dentro dela.
Ou em algum lugar em um script de login e você se esquece disso.
Você poderá ver os eventos no Visualizador de Eventos porque sua conta está sendo bloqueada. É a ID do Evento 644. Certifique-se de que sua Auditoria de Segurança esteja definida como Sucesso / Falha para ver esses erros no log de eventos do DC.
Adicional, a ID de evento 529, que é uma tentativa de logon com falha, deve ser listada em todos os lugares que tiverem as credenciais erradas salvas.
Além das já boas soluções:
É possível efetuar login automático nas janelas usando um nome de usuário e senha predefinidos, mesmo em domínios. Se isso falhar, apresentará o login normal. Mas isso pode fazer com que o usuário seja bloqueado em primeiro lugar.
há um examinador da conta do netwrix do utilitário. você pode baixá-lo em netwrix.com. Faça o download, configure-o e ele informará onde sua conta está sendo bloqueada.