各位先进好，
有个疑问想请各位确认一下，
最近公司有政策要在AD下派发当主机发生4625登入失败事件时需要通知管理员的规则，
实作上已经完成了，这没有问题，
但每天都会看到不特定主机会登入DC，但登入失败产生4625事件的状况，
从常理来说不合理，但还是要请教一下是否合理
我有试着在事件发生当下到client下netstat看port对应的pid，
但看到的是system(pid: 4)所发出的，
到这边我就不知道怎么追下去了…

看client的log

使用者电脑UID有没有一样

主要是不知道是哪只程式在尝试登入DC使用者电脑确实有看到localhost to DC但确实system发起

firewall挡掉3389后看log最快

网络磁盘机？