AD User wird immer wieder gesperrt
Hey
ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.
ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:
Weitere Informationen:
Aufrufcomputername: WORKSTATION
Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...
Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.
wie bekomme ich raus wieso der User immer wieder gesperrt wird?
ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.
ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:
Weitere Informationen:
Aufrufcomputername: WORKSTATION
Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...
Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.
wie bekomme ich raus wieso der User immer wieder gesperrt wird?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389521
Url: https://administrator.de/contentid/389521
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
24 Kommentare
Neuester Kommentar
Ich hatte mal sowas ähnliches.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
Zitat von @erikro:
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.
A dies und B: Wurde zuletzt das Passwort geändert? Habe es schon oft genug erlebt, dass User-Accounts zum Authentifizieren von irgendwelchen Systemdiensten benutzt werden, die von einer PW-Änderung natürlich nichts mitbekommen und der AD-Account dann kontinuierlich an die Wand fährt.
Dann solltest du evtl. nachsehen, wer von außen in dein Netzwerk kommt.
Hi,
da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?
Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus
Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?
Ggf. ist das ein Ansatz.
VG
Green14
da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?
Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus
Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?
Ggf. ist das ein Ansatz.
VG
Green14
Zitat von @Yellowcake:
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Zitat von @erikro:
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Zitat von @Yellowcake:
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
Kommt darauf an, ob so einer an einer gepatchten Dose eine IP kriegt und nur damit das Netzwerk bzw. die Netzwerkumgebung browsen kann.
Wenn er im Netzwerk browsen kann, sieht er sogar Freigaben (zumindest, wenn's keine Dollar-Freigaben sind) und versucht, in diese hineinzukommen.
Dabei müßte er aber die Zugriffscredentials desjenigen verwenden. der immer wieder gesperrt wird. Und diese auch noch in der richtigen Namenssyntax, also zum Beispiel maier@firma.local oder firma\maier, denn ohne Domänenangabe würde der Geschäftsleiter ja bei verweigerten Zugriffsversuchen nicht gesperrt.
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
Viele Grüße
von
departure69
Moin,
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Liebe Grüße
Erik
Zitat von @departure69:
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Liebe Grüße
Erik
Zitat von @erikro:
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat
Sehr wage Vermutung :D
@erikro:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Zitat von @departure69:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
Dazu kommt, dass ein Mensch es dann auch irgendwann sein lässt. Deshalb eher nach den Diensten schauen. Oder wird der AD-Account auch für irgendetwas in Richtung Backup benötigt?
Moin,
ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.
Gruß,
Tjelvar
ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.
Gruß,
Tjelvar
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Yellowcake:
Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Yellowcake:
Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Zitat von @departure69:
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
@Tjelvar:
Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.
BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.
Da gebe Ich dir grundsätzlich Recht, nur konnte ich mich da nicht gegen wehren. Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren.
Hallo Yellowcake,
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
Viele Grüße
SeriousEE
Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.
Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
- VPN
- Netzlaufwerk verbunden
Viele Grüße
SeriousEE
Und wenn du jetzt einfach einen neuen User anlegst?
Das reine Umbenennen scheint ja nicht geholfen zu haben.
Das reine Umbenennen scheint ja nicht geholfen zu haben.
Hab gerade in einem Reddit Beitrag dazu gelesen, dass es sich bei den Aufrufcomputernamen: Workstation wahrscheinlich um einen Mac handelt.
Link: https://www.reddit.com/r/activedirectory/comments/7ko0fa/account_lockout ...
Link: https://www.reddit.com/r/activedirectory/comments/7ko0fa/account_lockout ...