Auditoría cuentas bloqueadas Hola, tengo una política en Active Directory para bloquear una cuenta de usuario después de tres intentos fallidos de acceso, y sé que mirando en el visor de sucesos del controlador de dominio, los eventos 644, en la sección de Seguridad, puedo ver desde qué equipo se ha bloqueado, pero sólo me informa de equipos que están dentro de mi red, el problema es que cuando por ejemplo alguien accede por OWA, o su cuenta de correo electrónico desde un Smart Phone y bloquea su cuenta, el visor de sucesos muestra que la cuenta se ha bloqueado desde el servidor donde tengo alojado el Exchange. ¿Hay alguna manera de saber la IP del equipo en remoto desde el que se intentó acceder y causó el bloqueo del usuario?
Por cierto, si a alguien le interesa, después de ubicar el equipo desde el que se bloquea una cuenta, se pude saber qué programa es el que está causando el problema utilizando las Account Lockout and Management Tools.
Un saludo.
