【问题】AD环境下，经常会遇到用户账号因输错密码次数超限而被锁的情况。
如果AD环境较简单还好说，但如果域控很多，要定位用户账号被锁在哪里就有点小麻烦了，比如开发人员可能会频繁登录多台服务器，如果某台服务器缓存了用户账号，一旦账号被锁，该如何定位源头？
P.S. 解释一下域控很多的情况，用户A是一家美国的跨国公司，AD环境里存在多个站点，美国总部是根域A.com，下面有多个子域，比如中国CN.A.com, 亚太AP.A.com, 欧洲EU.A.com...每个站点里都搭建了各个域的域控，相互之间同步、备份。 如下图，CN子域的域控在整个组织里就有12台。

【解决】估计微软也知道存在这个问题，所以提供了一个小工具，LockoutStatus。
1. 下载安装后，运行这个工具，File菜单里选Select Target,

2. 输入用户账号跟域名，然后点OK按钮。

3.    在返回的结果里，着重看三项：
a. user state: Locked
b. Lockout Time: 锁定时间，后续会用
c. Orig Lock: 锁定源域控服务器名，后续会用

4. 远程登录到上一步Orig Lock找到的域控服务器，然后打开事件查看器。
5. 展开Windows日志 >>> Security，根据第三步Lockout Time的锁定时间，就能定位到账号被锁定在那台机器上了。

简单吧~ : )

-----EOF----