Добрый день!
Ситуация, которую вы описываете, может быть связана с несколькими факторами. Рассмотрим основные причины блокировки учетных записей в Active Directory, даже если у них не установлен срок действия.
1. **Неправильный ввод пароля**: Да, самой распространенной причиной блокировок учетных записей является неправильный ввод пароля. Каждая учетная запись имеет установленный лимит на количество неверных попыток входа. Если лимит превышен, учетная запись блокируется автоматически. Убедитесь, что сотрудники не забывают свои пароли или не вводят их неправильно.
2. **Клиенты, использующие старые или кэшированные учетные данные**: Если пользователи используют OpenVPN или другие клиенты, они могут пытаться использовать устаревшие или кэшированные учетные данные, которые не соответствуют текущему паролю. Убедитесь, что у пользователей нет активных сессий с устаревшими учётными данными на устройствах, особенно если они разлогинивались или не меняли пароли на всех своих устройствах.
3. **Службы и приложения, использующие учетные данные**: Проверьте, нет ли служб, запланированных задач или приложений, использующих старые или неправильные учетные данные. Например, службы бэкапа, скрипты, системы управления доступом и т. д., которые могут автоматически пытаться аутентифицироваться в Active Directory.
4. **Выявление аномалий в логах**: Проанализируйте логи событий (например, события 4625 и 4771), чтобы увидеть, откуда исходят неудачные попытки входа. Возможно, есть какое-то устройство или приложение, которое вызывает проблему.
5. **Синхронизация времени**: Убедитесь, что все серверы и клиентские устройства синхронизированы по времени. Разница во времени может привести к неудачным аутентификациям.
6. **Ошибки в групповой политике**: Проверьте политика безопасности, касающиеся блокировки учетных записей. Убедитесь, что настройки, такие как количество разрешенных попыток входа и время блокировки, точно соответствуют вашим требованиям.
7. **Парольная политика и учетные записи временных пользователей**: Иногда учетные записи могут быть подвержены блокировке, даже если у них нет установленного срока действия, если, например, они используют строгую политику паролей или сами были созданы для тестирования и их использование не контролируется.
Соответственно, для диагностики проблемы стоит тщательно просмотреть все доступные логи и настройки, а также провести беседу с пользователем, чья учетная запись была заблокирована, чтобы понять, есть ли у него понимание, какие действия могли привести к блокировке.
Если проблема продолжает возникать, возможно, стоит рассмотреть возможность более подробного аудита или использования специализированных инструментов мониторинга, которые помогут выявить источники проблемы.