Resolvido por esta resposta: link Olhou a última tentativa de senha ruim em um dc e olhou o log do rdp ao mesmo tempo.
O usuário do "scanner" do sistema continua bloqueando e, no visualizador de eventos, há espaço em branco onde está a origem. Em alguns casos há um endereço IP, que aponta para diferentes impressoras ou scanners, mas lá eu reentrou as senhas, os mesmos endereços IP aparecem no log, com tentativas de senha incorreta. Tentei loking para o evento 4740 (nunca tem uma fonte), 4625 (algum caso, mas principalmente sem fonte) Como posso encontrar a fonte do problema?
Resolvido por esta resposta: link Olhou a última tentativa de senha ruim em um dc e olhou o log do rdp ao mesmo tempo.