Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD User wird immer wieder gesperrt

Mitglied: Yellowcake

Yellowcake (Level 1) - Jetzt verbinden

15.10.2018 um 10:08 Uhr, 1661 Aufrufe, 23 Kommentare, 1 Danke

Hey

ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.

ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:

Weitere Informationen:
Aufrufcomputername: WORKSTATION

Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...

Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.

wie bekomme ich raus wieso der User immer wieder gesperrt wird?


Mitglied: hesper
15.10.2018 um 10:13 Uhr
Ich hatte mal sowas ähnliches.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
Bitte warten ..
Mitglied: Yellowcake
15.10.2018 um 10:21 Uhr
das kann ich ja schon ausschließen, da der Windowsrechner nicht eingeschaltet ist und der User nicht an den Tagen gearbeitet hat.
Bitte warten ..
Mitglied: erikro
15.10.2018 um 10:29 Uhr
Moin,

da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: chgorges
15.10.2018, aktualisiert um 10:34 Uhr
Zitat von erikro:
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.

A dies und B: Wurde zuletzt das Passwort geändert? Habe es schon oft genug erlebt, dass User-Accounts zum Authentifizieren von irgendwelchen Systemdiensten benutzt werden, die von einer PW-Änderung natürlich nichts mitbekommen und der AD-Account dann kontinuierlich an die Wand fährt.
Bitte warten ..
Mitglied: Yellowcake
15.10.2018 um 10:39 Uhr
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Bitte warten ..
Mitglied: hesper
15.10.2018 um 10:45 Uhr
Dann solltest du evtl. nachsehen, wer von außen in dein Netzwerk kommt.
Bitte warten ..
Mitglied: 135624
15.10.2018 um 10:52 Uhr
Hi,

da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?

Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus

Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?

Ggf. ist das ein Ansatz.

VG
Green14
Bitte warten ..
Mitglied: erikro
15.10.2018 um 12:04 Uhr
Zitat von Yellowcake:

kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername

Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Bitte warten ..
Mitglied: departure69
15.10.2018, aktualisiert um 13:15 Uhr
Zitat von erikro:

Zitat von Yellowcake:

kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername

Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.


Kommt darauf an, ob so einer an einer gepatchten Dose eine IP kriegt und nur damit das Netzwerk bzw. die Netzwerkumgebung browsen kann.

Wenn er im Netzwerk browsen kann, sieht er sogar Freigaben (zumindest, wenn's keine Dollar-Freigaben sind) und versucht, in diese hineinzukommen.
Dabei müßte er aber die Zugriffscredentials desjenigen verwenden. der immer wieder gesperrt wird. Und diese auch noch in der richtigen Namenssyntax, also zum Beispiel maier@firma.local oder firma\maier, denn ohne Domänenangabe würde der Geschäftsleiter ja bei verweigerten Zugriffsversuchen nicht gesperrt.

Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: erikro
15.10.2018 um 13:22 Uhr
Moin,

Zitat von departure69:
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.

80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: chgorges
15.10.2018 um 13:33 Uhr
Zitat von erikro:
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat

Sehr wage Vermutung :D
Bitte warten ..
Mitglied: Yellowcake
15.10.2018 um 13:52 Uhr
ich gehe davon aus das es einer Versucht, ich weiß aber noch nicht wie. Da wir auch noch mit Roaming Profilen arbeiten, macht es das noch viel einfacher zu finden. Also egal in welcher Dose oder im welchem W-Lan das her kommt. Interessant wäre zu wissen mit welcher IP Adresse und Mac adresse. Damit könnte man dann ja erkennen woher das kommt und so mehr eingrenzen.
aber was da das Eventlog macht ist ja echt mal ... :p
Bitte warten ..
Mitglied: departure69
15.10.2018 um 13:59 Uhr
@erikro:

80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.

Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Bitte warten ..
Mitglied: chgorges
15.10.2018 um 14:10 Uhr
Zitat von departure69:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?

Dazu kommt, dass ein Mensch es dann auch irgendwann sein lässt. Deshalb eher nach den Diensten schauen. Oder wird der AD-Account auch für irgendetwas in Richtung Backup benötigt?
Bitte warten ..
Mitglied: Tjelvar
16.10.2018 um 10:23 Uhr
Moin,

ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.

Gruß,
Tjelvar
Bitte warten ..
Mitglied: departure69
16.10.2018 um 10:40 Uhr
@Tjelvar:

Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.

BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.

@Yellowcake:

Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Bitte warten ..
Mitglied: Tjelvar
16.10.2018 um 10:45 Uhr
Zitat von departure69:

@Tjelvar:

Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.

BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.

Da gebe Ich dir grundsätzlich Recht, nur konnte ich mich da nicht gegen wehren. Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren.
Bitte warten ..
Mitglied: departure69
16.10.2018 um 10:50 Uhr
Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren. 

Versteh' ich gut. Wenn die Chefs was wollen, ist das fast immer so.
Bitte warten ..
Mitglied: Yellowcake
16.10.2018 um 14:07 Uhr
leider noch nicht weiter gekommen. Problem ist halt, das Konto wird ja nur unregelmäßig gesperrt. Das Konto wird auch nur für Ihn benutzt. Backup Jobs und co laufen alle mit extra Konten. Damit so etwas gar nicht erst passieren kann.

Ich muss jetzt einfach wieder warten bis es wieder gesperrt wird, und hoffen das sich was verändert hat. Und muss dies auch erkennen...
Gehe aktuell von einen Angriff von innen aus. Ob ein MA oder ob es ein Dienst ist weiß ich aber noch nicht. Aktuell sagt mir mein Gefühl Dienst. Aber ich weiß nicht ansatzweise was es sein könnte. Frage ist halt noch mal an alle, ob jemand weiß wo Windows noch mehr Informationen speichert als in dem Log, die mir helfen könnten.
Bitte warten ..
Mitglied: SeriousEE
16.10.2018 um 16:42 Uhr
Hallo Yellowcake,

Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.

Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
  • VPN
  • Netzlaufwerk verbunden

Viele Grüße
SeriousEE
Bitte warten ..
Mitglied: hesper
17.10.2018 um 07:00 Uhr
Und wenn du jetzt einfach einen neuen User anlegst?
Das reine Umbenennen scheint ja nicht geholfen zu haben.
Bitte warten ..
Mitglied: catcatcher
22.10.2018 um 10:26 Uhr
Moin,

bei unserem GF war es ein altes iPad, das an die Kinder vermacht wurde und der nicht gelöschte Exchange-Account.

Gruß Arno
Bitte warten ..
Mitglied: Yellowcake
23.10.2018 um 08:47 Uhr
Zitat von SeriousEE:

Hallo Yellowcake,

Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.

Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
  • VPN
  • Netzlaufwerk verbunden

Viele Grüße
SeriousEE

leider gibt es keinen eintrag in dem Zeitraum mit der EventID 4625

ich habe jetzt den Anmeldenamen geändert, das hat wohl geholfen. Aber mich interessiert immer noch wer oder was da reingefunkt hat.

wie gesagt alte Geräte mit falschem PW kann ich ausschließen.
und ein heim PC gibt es nicht. Heim PCs kommen auch gar nicht in unser Netzwerk rein.
Und ich habe noch keinen Heim PC gesehen der WORKSTATION heißt. Die sind immer in der Arbeitsgruppe Workgroup und heißen dann immer irgend was mit zahlen wenn man keinen PC Namen vergibt. oder so eine Kombie aus Username und irgend ein paar zahlen, aber nicht nur "WORKSTATION". wäre auch gegen Microsoft Logik, wenn alle Heim PCs WORKSTATION heißen würden. Dann würde es im LAN Krachen
Bitte warten ..
Ähnliche Inhalte
Microsoft Office

Excelsheet gesperrt durch nicht mehr vorhandenen AD-User

Frage von Dopamin85Microsoft Office5 Kommentare

Hallo zusammen, wir haben seit langer Zeit folgendes Phänomen: Ein bestimmtes Exelsheet wird immer wieder mal durch einen AD-User ...

Windows Server

AD User täglich gesperrt - Fehler bei der Kerberos-Vorauthentifizierung

Frage von xbast1xWindows Server8 Kommentare

Hallo zusammen, ein Mitarbeiter ist jeden Morgen im AD gesperrt. Im Ereignislog des primären DC'S wird der folgende Fehler ...

Windows Server

AD Benutzer wird sporadisch gesperrt

Frage von xbast1xWindows Server10 Kommentare

Hallo zusammen, seit geraumer Zeit wird ein bestimmter AD User teilweise mehrmals täglich, teilweise aber nur 1x pro Woche ...

Windows Server

User wird gesperrt - Bad PW Count Problem

Frage von gk3000Windows Server5 Kommentare

Hallo, habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2. Problem: Der Benutzer hat ...

Neue Wissensbeiträge
Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 10 StundenWindows 10

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Off Topic
Computermuseum Stuttgart
Tipp von NixVerstehen vor 17 StundenOff Topic1 Kommentar

Hallo zusammen, letzte Woche habe ich mit meinem 16-jährigen Sohn das Computermuseum Stuttgart (Uni Stuttgart) besucht, um ihm und ...

Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 22 StundenWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 1 TagWindows 105 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Heiß diskutierte Inhalte
Server
Wie kommunizieren Server ?
gelöst Frage von A12345Server25 Kommentare

Hallo liebe Forumsgemeinde, ich bin ein absoluter Neuling und habe nicht viel Ahnung von der IT. Allerdings habe ich ...

Server
ODBC Verbindung zu MYSQL funktioniert beim Einrichten nicht
Frage von martenkServer22 Kommentare

Guten Tag, versuche gerade von meinem PC eine ODBC Testverbindung zu meinem Server (bei 1und1) aufzubauen habe dazu mysql ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement20 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk19 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...