24
AD User wird immer wieder gesperrt
Hey
ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.
ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:
Weitere Informationen:
Aufrufcomputername: WORKSTATION
Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...
Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.
wie bekomme ich raus wieso der User immer wieder gesperrt wird?
ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.
ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:
Weitere Informationen:
Aufrufcomputername: WORKSTATION
Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...
Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.
wie bekomme ich raus wieso der User immer wieder gesperrt wird?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389521
Url: https://administrator.de/contentid/389521
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
24 Kommentare
Neuester Kommentar
Ich hatte mal sowas ähnliches.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
das kann ich ja schon ausschließen, da der Windowsrechner nicht eingeschaltet ist und der User nicht an den Tagen gearbeitet hat.
Moin,
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
Liebe Grüße
Erik
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
Liebe Grüße
Erik
Zitat von @erikro:
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
A dies und B: Wurde zuletzt das Passwort geändert? Habe es schon oft genug erlebt, dass User-Accounts zum Authentifizieren von irgendwelchen Systemdiensten benutzt werden, die von einer PW-Änderung natürlich nichts mitbekommen und der AD-Account dann kontinuierlich an die Wand fährt.
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Dann solltest du evtl. nachsehen, wer von außen in dein Netzwerk kommt.
Hi,
da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?
Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus
Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?
Ggf. ist das ein Ansatz.
VG
Green14
da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?
Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus
Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?
Ggf. ist das ein Ansatz.
VG
Green14
Zitat von @Yellowcake:
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Zitat von @erikro:
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Zitat von @Yellowcake:
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Kommt darauf an, ob so einer an einer gepatchten Dose eine IP kriegt und nur damit das Netzwerk bzw. die Netzwerkumgebung browsen kann.
Wenn er im Netzwerk browsen kann, sieht er sogar Freigaben (zumindest, wenn's keine Dollar-Freigaben sind) und versucht, in diese hineinzukommen.
Dabei müßte er aber die Zugriffscredentials desjenigen verwenden. der immer wieder gesperrt wird. Und diese auch noch in der richtigen Namenssyntax, also zum Beispiel maier@firma.local oder firma\maier, denn ohne Domänenangabe würde der Geschäftsleiter ja bei verweigerten Zugriffsversuchen nicht gesperrt.
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
Viele Grüße
von
departure69
Moin,
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Liebe Grüße
Erik
Zitat von @departure69:
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Liebe Grüße
Erik
Zitat von @erikro:
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat
Sehr wage Vermutung :D
ich gehe davon aus das es einer Versucht, ich weiß aber noch nicht wie. Da wir auch noch mit Roaming Profilen arbeiten, macht es das noch viel einfacher zu finden. Also egal in welcher Dose oder im welchem W-Lan das her kommt. Interessant wäre zu wissen mit welcher IP Adresse und Mac adresse. Damit könnte man dann ja erkennen woher das kommt und so mehr eingrenzen.
aber was da das Eventlog macht ist ja echt mal ... :p
aber was da das Eventlog macht ist ja echt mal ... :p
@erikro:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Zitat von @departure69:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Dazu kommt, dass ein Mensch es dann auch irgendwann sein lässt. Deshalb eher nach den Diensten schauen. Oder wird der AD-Account auch für irgendetwas in Richtung Backup benötigt?
Moin,
ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.
Gruß,
Tjelvar
ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.
Gruß,
Tjelvar
1
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Yellowcake:
Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Yellowcake:
Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Zitat von @departure69:
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
Da gebe Ich dir grundsätzlich Recht, nur konnte ich mich da nicht gegen wehren. Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren.
Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren.
Versteh' ich gut. Wenn die Chefs was wollen, ist das fast immer so.
leider noch nicht weiter gekommen. Problem ist halt, das Konto wird ja nur unregelmäßig gesperrt. Das Konto wird auch nur für Ihn benutzt. Backup Jobs und co laufen alle mit extra Konten. Damit so etwas gar nicht erst passieren kann.
Ich muss jetzt einfach wieder warten bis es wieder gesperrt wird, und hoffen das sich was verändert hat. Und muss dies auch erkennen...
Gehe aktuell von einen Angriff von innen aus. Ob ein MA oder ob es ein Dienst ist weiß ich aber noch nicht. Aktuell sagt mir mein Gefühl Dienst. Aber ich weiß nicht ansatzweise was es sein könnte. Frage ist halt noch mal an alle, ob jemand weiß wo Windows noch mehr Informationen speichert als in dem Log, die mir helfen könnten.
Ich muss jetzt einfach wieder warten bis es wieder gesperrt wird, und hoffen das sich was verändert hat. Und muss dies auch erkennen...
Gehe aktuell von einen Angriff von innen aus. Ob ein MA oder ob es ein Dienst ist weiß ich aber noch nicht. Aktuell sagt mir mein Gefühl Dienst. Aber ich weiß nicht ansatzweise was es sein könnte. Frage ist halt noch mal an alle, ob jemand weiß wo Windows noch mehr Informationen speichert als in dem Log, die mir helfen könnten.
Hallo Yellowcake,
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
Viele Grüße
SeriousEE
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
- VPN
- Netzlaufwerk verbunden
Viele Grüße
SeriousEE
Und wenn du jetzt einfach einen neuen User anlegst?
Das reine Umbenennen scheint ja nicht geholfen zu haben.
Das reine Umbenennen scheint ja nicht geholfen zu haben.
Moin,
bei unserem GF war es ein altes iPad, das an die Kinder vermacht wurde und der nicht gelöschte Exchange-Account.
Gruß Arno
bei unserem GF war es ein altes iPad, das an die Kinder vermacht wurde und der nicht gelöschte Exchange-Account.
Gruß Arno
1Zitat von @SeriousEE:
Hallo Yellowcake,
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
Viele Grüße
SeriousEE
Hallo Yellowcake,
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
- VPN
- Netzlaufwerk verbunden
Viele Grüße
SeriousEE
leider gibt es keinen eintrag in dem Zeitraum mit der EventID 4625
ich habe jetzt den Anmeldenamen geändert, das hat wohl geholfen. Aber mich interessiert immer noch wer oder was da reingefunkt hat.
wie gesagt alte Geräte mit falschem PW kann ich ausschließen.
und ein heim PC gibt es nicht. Heim PCs kommen auch gar nicht in unser Netzwerk rein.
Und ich habe noch keinen Heim PC gesehen der WORKSTATION heißt. Die sind immer in der Arbeitsgruppe Workgroup und heißen dann immer irgend was mit zahlen wenn man keinen PC Namen vergibt. oder so eine Kombie aus Username und irgend ein paar zahlen, aber nicht nur "WORKSTATION". wäre auch gegen Microsoft Logik, wenn alle Heim PCs WORKSTATION heißen würden. Dann würde es im LAN Krachen
Hab gerade in einem Reddit Beitrag dazu gelesen, dass es sich bei den Aufrufcomputernamen: Workstation wahrscheinlich um einen Mac handelt.
Link: https://www.reddit.com/r/activedirectory/comments/7ko0fa/account_lockout ...
Link: https://www.reddit.com/r/activedirectory/comments/7ko0fa/account_lockout ...
