Domain ortamındaki bir kullanıcımızın hesabı kilitlendiğinde alttaki komutlar izleme yapılabilir.

1- SID numarasından kullanıcı adını bulabilmek için;

wmic useraccount where sid="S-1-5-21-785398446-389385763-2690074584-7222" get name

2- Kilitlenen hesap ile ilgili detalı bilgi edebilemek için powershell ile;

(4767 user account was unlocked dahil)

Get-EventLog -LogName Security | ?{$_.message -like "*locked*USERNAME*"} | fl -property *