请求协助分析 AD 账号修改密码后频繁锁定问题

Question

尊敬的 Microsoft 支持团队：Windows日志.txt
您好！

目前有三位用户在公司办公室办公，在修改 AD 账号密码后，虽然可以使用新密码正常登录 Windows 系统，但只要重启电脑或电脑锁屏/解锁，AD 账号便会被自动锁定。电脑不联网情况下，重启电脑，电脑锁屏/解锁时，AD账号不会被锁定。

针对该问题，我已进行了较为全面的排查和处理，包括但不限于以下项目：

1.打印机及打印驱动

已彻底删除所有打印机及打印驱动，同时清空以下目录内容：

C:\Windows\System32\spool\PRINTERS

并清理：C:\Windows\System32\spool\drivers\color和C:\Windows\System32\spool\drivers\x64\3

2.浏览器缓存

已清空所有保存的密码，并重置浏览器。

3.共享盘映射

已删除所有共享盘映射及相关快捷方式。

4.Outlook 邮箱

已移除 Outlook 邮箱配置。

5.Microsoft Teams

已清空 Teams 缓存。

6.OneDrive

用户电脑未登录 OneDrive。

7.Windows 凭证管理器

已清空 Web Credentials 与 Windows Credentials，另外执行了以下命令：

PowerShellRemove-Item -Path "Credential::*" -ForceShow more lines

8.Windows 服务

已检查所有 Windows 服务，未发现使用域账号运行的服务。

9.Cisco Secure client

已完全卸载。

10.802.1X 认证

已取消网卡中的 IEEE 802.1X 身份验证。

11.网卡驱动

已卸载并重新安装网卡驱动程序。

12.Office 登录状态

已重置 Office 登录认证。

13.任务计划程序

已检查任务计划，未发现使用域账号运行的任务。

14.VPN

当前未使用 VPN。

15.凭据与票据清理

已执行以下命令确认缓存凭据已清空：

klist purge以及control keymgr.dll

16.Windows日志中找到0xC000006A错误代码，但找不到对应的进程，可能是登录时瞬间运行的。

经上述排查后，仍未发现异常。目前除“重新创建用户 Windows Profile/配置文件”外，已尝试多种解决方案，但问题依旧存在。

另外，在三位受影响用户中，其中一位用户于今天上午刚修改AD账号密码，随后立即出现：

Ⅰ.AD 账号被自动锁定

Ⅱ.网络打印机拒绝访问

等问题。这些可能和交互式登录有关联，但找不到是哪个进程。

烦请 Microsoft 协助进一步分析并协助定位根因，谢谢。Windows日志请参考附件。

操作系统版本：Windows 11 23H2英文版（已最新版安全补丁）

Answer 1

从日志和你描述的情况来看，账号锁定的根因并不是用户输入错误，而是系统或某个进程在后台持续尝试使用旧密码进行身份验证。 日志里出现的 0xC000006A (bad password) 和 0xC0000234 (account locked out)，结合进程如 svchost.exe、lsass.exe、consent.exe 以及第三方服务 Titus.Enterprise.Client.Service.exe，说明有残留的凭据或服务在系统启动、锁屏解锁时触发认证请求。

你已经清理了凭据管理器、浏览器、Outlook、Teams、打印机等常见来源，但仍有进程在尝试旧密码。 建议重点排查：一是检查 Windows Credential Manager 是否有隐藏的企业凭据（尤其是 EnterpriseClientService 或 Titus 相关条目）； 二是确认是否有 第三方安全或数据分类软件（如 Titus）在后台以域账号运行并缓存旧密码； 三是使用 Autoruns 工具查看开机启动项和服务，确认没有残留的域账号调用。

如果确认所有凭据和服务都已清理，但锁定依旧发生，最佳做法是为受影响用户 重新创建 Windows Profile，确保所有本地缓存票据和配置彻底清除。 这个问题通常不是 AD 本身的错误，而是客户端残留凭据导致的自动认证失败。 你可以先尝试禁用或卸载 Titus 客户端进行验证，如果锁定问题消失，就能确认根因。