Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

User wird gesperrt - Bad PW Count Problem

Mitglied: gk3000

gk3000 (Level 1) - Jetzt verbinden

11.01.2016 um 14:10 Uhr, 599 Aufrufe, 5 Kommentare

Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.


Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)

Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.

Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:

01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A

Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.

Hat jemand einen Hinweis wo ich noch suchen könnte?
Mitglied: DerWoWusste
11.01.2016 um 14:21 Uhr
Hi.

bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
Bitte warten ..
Mitglied: xbast1x
11.01.2016 um 14:21 Uhr
Sind die Daten ggfs. im Tresor mit abgespeichert? ggfs. Tresor leeren.
Bitte warten ..
Mitglied: Chonta
11.01.2016 um 15:18 Uhr
Hallo,

und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?

Gruß

Chonta
Bitte warten ..
Mitglied: gk3000
11.01.2016 um 15:30 Uhr
Danke!

Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.

Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.

Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.

In welchen Logs soll ich denn genau nach was ausschau halten?
Bitte warten ..
Mitglied: Chonta
11.01.2016 um 15:33 Uhr
Hallo,

in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)

Gruß

Chonta
Bitte warten ..
Ähnliche Inhalte
Apache Server
Bad Request
Frage von HacktoxXApache Server6 Kommentare

Guten Tag, habe seit einigen Tagen das Problem, dass wenn ich über http auf meine Website zugreifen will, einen ...

Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server23 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Server
Domänenadmin PW
Frage von SYS64738Windows Server22 Kommentare

Hallo zusammen, ich habe heute mal test weise in meiner Testumgebung das Domänen Administrator PW meines MS 2016 Servers ...

Windows Server

Ereignis 4776 User wird ständig vom DC gesperrt

Frage von tourguide1504Windows Server10 Kommentare

Nach der Entsperrung kann er wieder arbeiten um dann zu einem späterem Zeitpunkt während des Arbeiten wieder gesperrt zu ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 1 TagMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 1 TagWindows 101 Kommentar

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 1 TagMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 6 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...