其实微软在早期发布过一款工具，这款工具是可以查到在哪个域控上锁定的，然后通过日志大致可以定位到锁定的客户端，这款工具叫做：Lockoutstatus

Lockoutstatus下载地址： https://www.microsoft.com/en-us/download/details.aspx?id=15201

帐户锁定和管理工具简介

• https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/account-lockout-and-management-tool

本文介绍适用于 Windows Server 的 帐户锁定和管理工具 。

原始 KB 编号： 4469275

摘要

本文介绍帐户锁定和管理工具。 这组工具可帮助你管理帐户并排查帐户锁定问题。

更多信息

帐户锁定和管理工具包中包含以下文件：

• AcctInfo.dll - 帮助你隔离和排查帐户锁定问题，以及更改该用户站点中域控制器上的用户密码。 此工具将新的属性页添加到 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 中的用户对象。

• ALockout.dll - 在客户端计算机上，帮助确定发送错误凭据的进程或应用程序。

   重要

  请勿在托管网络应用程序或服务的服务器上使用此工具。 此外，不应在运行 Microsoft Exchange Server 的服务器上使用 ALockout.dll，因为它可能会阻止 Exchange 存储启动。

• ALoInfo.exe - 显示所有用户帐户的密码名称和期限。

• EnableKerbLog.vbs - 通过启用 Kerberos 协议登录到运行 Windows 2000 及更高版本的 Windows 的所有客户端，用作启动脚本。

• EventCombMT.exe - 从一个中心位置的多个不同计算机的事件日志中收集特定事件。

• LockoutStatus.exe - 为了帮助收集相关日志，请确定用户帐户锁定所涉及的所有域控制器。 LockoutStatus.exe 使用 NLParse.exe 工具分析特定 Netlogon 返回状态代码的 Netlogon 日志。 此工具将输出定向到逗号分隔值 (.csv) 文件，稍后可对其进行排序。

• NLParse.exe - 用于从 Netlogon 日志文件中提取和显示所需的条目。

• 今天简单给大家介绍下如何利用这款工具逆向追踪到锁定的客户端的。废话不多说，首先我们下载Lockoutstatus，并拷贝到任意一台域控服务器上，安装我就不过多介绍了，其实就是一路下一步，但需要大家记住的是下面这个截图，也就是您的安装路径，因为一会安装完成后需要到这个路径下找到安装完成的应用程序，程序自身不会创建快捷方式。

• 安装完成后大家可以手动创建一个快捷方式。

• 为了演示，我随便使一个账号锁定，如图所示：

• 那么接下来，我们双击刚才安装完成那个软件，如图所示：

• 点击文件选项File，选择目标Select Target

• 在目标用户名列写出需要查询的域账号（被锁账号），点击OK

• 扫描完成后，你可以找到很多账号锁定信息，包括DC名，站点，账号状态，错误密码计数器，和最后一次错误密码时间。（由于我这是测试环境，只有一台AD，真实环境会有很多，一定要找那个最后一次错误密码时间）

• 找寻到最后一条错误时间记录，并找到相应的DC名，登录到这台域控。

• 登录后打开事件查看器，选择安全日志（如果时间长了的话，可以找日志备份）

• 如果日志太多，可以使用筛选功能进行查找。

• 根据刚才工具提示，我的测试账号是在13:22:10锁定的，所以我就找这个时间的日志。

• 我们可以清楚的看到，我的账号是在EXSRV01这台计算机上锁定的。
  

• 其实到这里还算结束，其实我们是可以看到最后一次登录这台（EXSRV01）电脑的用户是谁。

• 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。

get-wmiobject -computername 计算机名称  win32_computersystem | format-list username

• 系统最终查询出的账号是 ITSoul\Administrator

• 也就是说，目前这台名为EXSRV01的客户机是域用户Administrator正在使用。