Soy bastante nuevo en el análisis de los registros de Windows. He estado viendo un número excesivo de inicios de sesión con 4624 y 4625 con el Asunto / nombre de la cuenta: DomainController (el nombre real del domaincontroller es diferente) a las cuentas de usuario.
Entiendo que tiene sentido tener solicitudes de inicio de sesión desde la máquina del usuario al controlador de dominio. Pero, ¿por qué habría un número excesivo de solicitudes de inicio de sesión de los controladores de dominio a las cuentas de usuario que también tienen nombres de usuario y contraseñas mal escritas como motivo de error y el nombre del proceso como lsass.exe?