Для выявления источника блокировки учетной записи в домене воспользуемся пакетом от Microsoft - Account Lockout and Management Tools. Скачать можно по официальной ссылке ALTools.
Запускаем утилиту lockoutstatus.exe (далее File -> Select Target) и вводим логин проблемной учетки.
Нас интересуют две колонки - Bad Pwd Count и Last Bad Pwd. Там где будут указаны значения, отличные от 0 и none, на том контроллере домена и будем искать события о блокировках учетной записи.
Теперь запускаем утилиту eventcombMT.exe (обязательно от имени администратора). Добавляем в левом окне интересующий нас контроллер домена и выбираем тип событий, как на рисунке ниже. В Event ID вводим события 4625, 4740, 4771. В этих событиях хранится информация о неудачных попытках входа в систему.
Жмем на кнопу Search. Найденные события запишутся во временный каталог temp в директории с установленным пакетом. Анализируем текстовый файл и находим ip адрес, который вызвал блокировку.
После этого просим сотрудника завершить сессию по данному ip, либо удалить сохраненные пароли.