12
AD Account sperrt sich ständig
Hallo Leute,
brauche dringend eure Hilfe. Seit 2 Monaten wird ständig mein Konto gesperrt. Sperrung tritt immer häufiger auf, den Grund dafür habe ich auch herausgefunden.
Seit 2 Monaten recherchiere ich im Internet in alle Richtungen aber zu meinem Problem habe ich leider keine Lösung.
Der Grund warum ich immer wieder gesperrt werde ist
Vor ca. 2 Monaten habe ich ein neues OS, W7 Installiert und davon ein Image erzeugt. Dieses Image ist in meiner Firma jetzt auf ca. 30-40 Rechnern installiert. Ich habe herausgefunden immer wenn einer dieser Rechner im Netzwerk eine Exe startet versucht dieser Rechner mit meinen Zugangsdaten sich am Filer anzumelden. Das führt zur Kontosperrung meines AD Accounts.
Die User mit den Installierten images spüren keine Beeinträchtigung beim Start der Anwendungen. Ich habe die Rechner schon sehr genaui untersucht und finde nirgends einen ANhaltspunkt auf meinen AD Account. Womöglich habe ich damals b eim erstellen des Images Anwendungen unter meinem AD Account installiert, angemeldet ursprünglich als lokaler Benutzer mit Netzlaufwerken "verbunden als" (jedoch kann ich nichts finden das noch irgendwo was gemappt wäre)
Habe schon neue Profile, rundll32.exe keymgr.dll,KRShowKeyMgr, Default Profile gelöscht und mit neuem Benutzer am betroffenen PC neu angemeldet, Domäne rausgenommen etc. etc .etc....nichts führte zum Erfolg.
Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE, man sieht Event 4648 mit meinem AD Account als Login. Komme hier nicht mehr weiter, wahrscheinlich kann nur noch die Löschung meines Kontos zum Erfolg führen.
Oder habt ihr noch Hinweise ??
Danke!!
brauche dringend eure Hilfe. Seit 2 Monaten wird ständig mein Konto gesperrt. Sperrung tritt immer häufiger auf, den Grund dafür habe ich auch herausgefunden.
Seit 2 Monaten recherchiere ich im Internet in alle Richtungen aber zu meinem Problem habe ich leider keine Lösung.
Der Grund warum ich immer wieder gesperrt werde ist
Vor ca. 2 Monaten habe ich ein neues OS, W7 Installiert und davon ein Image erzeugt. Dieses Image ist in meiner Firma jetzt auf ca. 30-40 Rechnern installiert. Ich habe herausgefunden immer wenn einer dieser Rechner im Netzwerk eine Exe startet versucht dieser Rechner mit meinen Zugangsdaten sich am Filer anzumelden. Das führt zur Kontosperrung meines AD Accounts.
Die User mit den Installierten images spüren keine Beeinträchtigung beim Start der Anwendungen. Ich habe die Rechner schon sehr genaui untersucht und finde nirgends einen ANhaltspunkt auf meinen AD Account. Womöglich habe ich damals b eim erstellen des Images Anwendungen unter meinem AD Account installiert, angemeldet ursprünglich als lokaler Benutzer mit Netzlaufwerken "verbunden als" (jedoch kann ich nichts finden das noch irgendwo was gemappt wäre)
Habe schon neue Profile, rundll32.exe keymgr.dll,KRShowKeyMgr, Default Profile gelöscht und mit neuem Benutzer am betroffenen PC neu angemeldet, Domäne rausgenommen etc. etc .etc....nichts führte zum Erfolg.
Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE, man sieht Event 4648 mit meinem AD Account als Login. Komme hier nicht mehr weiter, wahrscheinlich kann nur noch die Löschung meines Kontos zum Erfolg führen.
Oder habt ihr noch Hinweise ??
Danke!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179608
Url: https://administrator.de/contentid/179608
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
du hast aber nicht einfach ein Image via z.B. Acronis erstellt und damit alle Rechner bespielt oder?
Wenn doch, dann hast du ein ziemlich fettes SID-Problem...
Deshalb gibt es auch WDS und ähnliche Tools damit sowas vermieden wird und nicht jeder einfach kurz ein Image zieht und überall verteilt...
Außerdem wenn das zutrifft, wie hast du das mit den Lizenzen gemacht?
Jedes mal händisch noch mal nach dem bepuscheln des Systems geändert und aktiviert?
Gruß
du hast aber nicht einfach ein Image via z.B. Acronis erstellt und damit alle Rechner bespielt oder?
Wenn doch, dann hast du ein ziemlich fettes SID-Problem...
Deshalb gibt es auch WDS und ähnliche Tools damit sowas vermieden wird und nicht jeder einfach kurz ein Image zieht und überall verteilt...
Außerdem wenn das zutrifft, wie hast du das mit den Lizenzen gemacht?
Jedes mal händisch noch mal nach dem bepuscheln des Systems geändert und aktiviert?
Gruß
nein
das wäre auch überhaupt nicht möglich da mit gleicher SID nummer eine neu anmeldung in die Domäne nicht möglich ist
habe mit dem Windows 7 eigenem sysprep das Image erzeugt
bezüglich Lizenzen, wir haben einen Lizenzserver in der Firma
das wäre auch überhaupt nicht möglich da mit gleicher SID nummer eine neu anmeldung in die Domäne nicht möglich ist
habe mit dem Windows 7 eigenem sysprep das Image erzeugt
bezüglich Lizenzen, wir haben einen Lizenzserver in der Firma
@23141
Das SID-Problem ist ein Mythos, siehe Artikel von Russinovich (Autor von NewSID): http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.a ...
Das SID-Problem ist ein Mythos, siehe Artikel von Russinovich (Autor von NewSID): http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.a ...
Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE...
GANZ sicher? Kann ich mir nicht vorstellen. Ich würde darauf tippen, dass das Kennwort unter Netzwerkkenwörter verwalten eingespeichert wurde. Prüfe bitte alle Netzwerkkenwörter, die gespeichert wurden unter "Netzwerkkenwörter verwalten".
Danke für deine Antwort
habe bereits alle Verzeichnisse alle Registryeinträge usw. untersucht nach meinem Beutzernamen, nichts zu finden, es muss aber mein Benutzernamen irgendwo drin stehen..... da ja im log sofort mein Benutzername auftaucht sobald man von so einem geimaged Rechner eine Exe aus dem Netzwerk startet
in welchem Verzeichniss oder Ort meinst du sollte ich suchen?
meinst du das
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
das steht der Benutzer nicht
habe bereits alle Verzeichnisse alle Registryeinträge usw. untersucht nach meinem Beutzernamen, nichts zu finden, es muss aber mein Benutzernamen irgendwo drin stehen..... da ja im log sofort mein Benutzername auftaucht sobald man von so einem geimaged Rechner eine Exe aus dem Netzwerk startet
in welchem Verzeichniss oder Ort meinst du sollte ich suchen?
meinst du das
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
das steht der Benutzer nicht
Zitat von @DerWoWusste:
> Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE...
GANZ sicher? Kann ich mir nicht vorstellen. Ich würde darauf tippen, dass das Kennwort unter Netzwerkkenwörter verwalten
eingespeichert wurde. Prüfe bitte alle Netzwerkkenwörter, die gespeichert wurden unter "Netzwerkkenwörter
verwalten".
> Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE...
GANZ sicher? Kann ich mir nicht vorstellen. Ich würde darauf tippen, dass das Kennwort unter Netzwerkkenwörter verwalten
eingespeichert wurde. Prüfe bitte alle Netzwerkkenwörter, die gespeichert wurden unter "Netzwerkkenwörter
verwalten".
meinst du das
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
Das meine ich. Das ist also leer? Hier würden keine Benutzernamen, sondern Rechnernamen stehen (Dein Fileserver).Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
korrekt, definitiv leer! Keine server, usernames etc...leer halt ;)
Ebenso die Ausgabe von rundll32.exe keymgr.dll,KRShowKeyMgr
Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Der Account meldet sich laut Event ID 4648 mit einem NULL Kennwort an - was erklärt warum ich bei der Aufzeichnung im Netzwerktraffic erst keine Kennwort Hashes gefunden habe....es gab keine
Ich habe das System wirklich forensisch zerpflügt, kann aber nichts finden - bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten ;)
Soll jetzt aber kein Angriff auf jemanden sein, bin für ALLE Antworten dankbar!
Gruß
Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Der Account meldet sich laut Event ID 4648 mit einem NULL Kennwort an - was erklärt warum ich bei der Aufzeichnung im Netzwerktraffic erst keine Kennwort Hashes gefunden habe....es gab keine
Ich habe das System wirklich forensisch zerpflügt, kann aber nichts finden - bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten ;)
Soll jetzt aber kein Angriff auf jemanden sein, bin für ALLE Antworten dankbar!
Gruß
Hallo,
)
Gruß,
Peter
Zitat von @laugen.weckle:
Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Es muss ja nicht zwingend in der Registrierung stehen.Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten
Na, ob dir das hilft? ProcessMonitor ist dann dein nächster Schritt. (Ist ein höherer Level)Gruß,
Peter
Danke für die Antwort
stimmt, da bin ich gerade dran
zumindest bringt die svchost.exe den Fehler erstmal ins rollen ....
stimmt, da bin ich gerade dran
zumindest bringt die svchost.exe den Fehler erstmal ins rollen ....
Zitat von @Pjordorf:
Hallo,
> Zitat von @laugen.weckle:
> Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Es muss ja nicht zwingend in der Registrierung stehen.
> bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten
Na, ob dir das hilft? ProcessMonitor ist dann dein nächster Schritt. (Ist ein höherer Level)
Gruß,
Peter
Hallo,
> Zitat von @laugen.weckle:
> Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Es muss ja nicht zwingend in der Registrierung stehen.
> bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten
Na, ob dir das hilft? ProcessMonitor ist dann dein nächster Schritt. (Ist ein höherer Level
)Gruß,
Peter
Hallo,
weiß jemand ob der Process Explorer eine Aufzeichnungsfunktion besitzt, d.h. einen vorher Nachher vergleich aufzeigen über einen kleinen Zeitraum ?
Sehe vom öffnen einer Exe auf einem Netzlaufwerk an kaum Veränderungen, auch bei höherer Aktualisierungsrate. Laut Event ID 4648 kommt die Anfrage von der lsass aus. Was ja ok ist, da die Anmeldeinformationen wohl darüber verwaltet werden. Nur leider seh ich im Event log nicht den Prozess davor (sehe nur Process ID 520 von der lsass und die Thread ID im Prozess. Das bringt mich aber leider auch nicht weiter...)
Jemand noch ne Idee bzw. Tipps zum Process Explorer ?
Gruß
weiß jemand ob der Process Explorer eine Aufzeichnungsfunktion besitzt, d.h. einen vorher Nachher vergleich aufzeigen über einen kleinen Zeitraum ?
Sehe vom öffnen einer Exe auf einem Netzlaufwerk an kaum Veränderungen, auch bei höherer Aktualisierungsrate. Laut Event ID 4648 kommt die Anfrage von der lsass aus. Was ja ok ist, da die Anmeldeinformationen wohl darüber verwaltet werden. Nur leider seh ich im Event log nicht den Prozess davor (sehe nur Process ID 520 von der lsass und die Thread ID im Prozess. Das bringt mich aber leider auch nicht weiter...)
Jemand noch ne Idee bzw. Tipps zum Process Explorer ?
Gruß
Rein aus Interesse, habt ihr auch einen Citrix Server?
Wir hatten dasselbe Problem mit unserem CAD admin.
(Ok er hatte den Usern ein Laufwerk mit seinen Login Credentials gemappt. ZUSÄTZLICH)
Aber, nachdem wir überall die Laufwerk Mappings aufgehoben haben, wurde er weiterhin gesperrt. (Eine Citrix Session in einer Testumgebung war hier das Problem)
Wenn deine Annahme stimmt müsste das AD ja Anmeldeversuche von div. Rechnern mit deinen Creds aufzeichnen und im Eventlog anzeigen.
Bitte das mal überprüfen, ob es wirklich von allen dieser 40 Rechner kommt.
Nächste Idee: In einem russischen Branch Office hatten wir eine Infektion, die Brute Force Attacken gefahren hat.
Username wurde ausgelesen und dann versucht das Passwort zu knacken.
Also ich würde wenn ich so lange auf der Suche nach der Lösung eines Problems bin nochmal zurück gehen und überprüfen ob die Ansätze zum Problem korrekt sind.
-> Eventlog DC Anmeldeversuche von 40 IPs der neuen Rechner mit deinen Creds -> Du liegst richtig.
Dann würde ich nach Scheduled Tasks schauen/Services schauen.
Wichtig: Du bekommst durch die Logs die Zeiten raus zu denen das passiert, das kann Rückschluss auf die Quelle auf den Rechnern geben.
(In 2 Monaten kannst du aber mehr als 40 Rechner manuell(!) neu installieren :D )
lg
Wir hatten dasselbe Problem mit unserem CAD admin.
(Ok er hatte den Usern ein Laufwerk mit seinen Login Credentials gemappt. ZUSÄTZLICH)
Aber, nachdem wir überall die Laufwerk Mappings aufgehoben haben, wurde er weiterhin gesperrt. (Eine Citrix Session in einer Testumgebung war hier das Problem)
Wenn deine Annahme stimmt müsste das AD ja Anmeldeversuche von div. Rechnern mit deinen Creds aufzeichnen und im Eventlog anzeigen.
Bitte das mal überprüfen, ob es wirklich von allen dieser 40 Rechner kommt.
Nächste Idee: In einem russischen Branch Office hatten wir eine Infektion, die Brute Force Attacken gefahren hat.
Username wurde ausgelesen und dann versucht das Passwort zu knacken.
Also ich würde wenn ich so lange auf der Suche nach der Lösung eines Problems bin nochmal zurück gehen und überprüfen ob die Ansätze zum Problem korrekt sind.
-> Eventlog DC Anmeldeversuche von 40 IPs der neuen Rechner mit deinen Creds -> Du liegst richtig.
Dann würde ich nach Scheduled Tasks schauen/Services schauen.
Wichtig: Du bekommst durch die Logs die Zeiten raus zu denen das passiert, das kann Rückschluss auf die Quelle auf den Rechnern geben.
(In 2 Monaten kannst du aber mehr als 40 Rechner manuell(!) neu installieren :D )
lg
