Tenho certeza de que concordo com o @SimonCaitlin em sua abordagem. Proces Explorer poderia ser uma vitória rápida para você. Eu apenas pensei em adicionar as seguintes ideias adicionais.
Você tem duas fontes potenciais deste problema, o sistema ou o usuário.
O sistema pode estar tentando executar um serviço no contexto desse usuário. Isso deve estar listado no console services.msc
. Ou você pode tentar desativar os serviços e ver quando o bloqueio pára de acontecer.
Se o bloqueio estiver ocorrendo quando um determinado usuário estiver conectado, você poderá dizer com segurança que é um processo executado pelo usuário que está causando o bloqueio. Se você tiver credenciais limpas, unidades desconectadas, etc., poderá tentar substituir o perfil do usuário por um novo.
Ah, e Tarefas agendadas é outra possível fonte de solicitações de autenticação com falha, tanto do ponto de vista do computador quanto do usuário. Pode ser uma tarefa configurada para ser executada no contexto desse usuário ou um script executado que usa credenciais armazenadas por algum outro meio, que está tentando autenticar com o controlador de domínio. Isso já aconteceu antes e a regularidade do tempo de bloqueio foi a doação.