12
Admin Account wird gesperrt
Hallo,
ich hatte jetzt 2 Wochen Urlaub und musste daraufhin heute mein Kennwort ändern.
Seit dem sperrt es meinen Admin Account permanent.
Kann ich in einer Log Datei auf dem DC sehen welche IP Adresse sich versucht mit meinem Admin Account anzumelden?
Ich denke es ist ein Dienst der auf einem Server läuft mit dem alten Kennwort.
Danke
ich hatte jetzt 2 Wochen Urlaub und musste daraufhin heute mein Kennwort ändern.
Seit dem sperrt es meinen Admin Account permanent.
Kann ich in einer Log Datei auf dem DC sehen welche IP Adresse sich versucht mit meinem Admin Account anzumelden?
Ich denke es ist ein Dienst der auf einem Server läuft mit dem alten Kennwort.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239914
Url: https://administrator.de/contentid/239914
Printed on: April 27, 2024 at 19:04 o'clock
12 Comments
Latest comment
Mahlzeit.
Zu allererst:
Man nimmt keinen Admin-Account, um damit Dienste zu starten. Dafür erstellt man separate Dienstkonten.
Schau mal ins Security Log auf deinem DC.
Cheers,
jsysde
Zu allererst:
Man nimmt keinen Admin-Account, um damit Dienste zu starten. Dafür erstellt man separate Dienstkonten.
Schau mal ins Security Log auf deinem DC.
Cheers,
jsysde
1
Ja das ist ja nicht gewollt gewesen, nur liegt es 2 Wochen + weitere 20 Tage zurück und ich wüsste nicht was ich da gemacht habe.
Zitat von @badkilla:
Ja das ist ja nicht gewollt gewesen, nur liegt es 2 Wochen + weitere 20 Tage zurück und ich wüsste nicht was ich da
gemacht habe.
Ja das ist ja nicht gewollt gewesen, nur liegt es 2 Wochen + weitere 20 Tage zurück und ich wüsste nicht was ich da
gemacht habe.
Irgendwann vor langer Zeit mal einen Dienst oder einen geplante Task eingerichtet, die mit Deinem Admin-Account-Rechten laufen sollen.
lks
Hmm in dem Sicherheits-Protokoll stehen nur 5 Einträge von heute der Rest ist von April.
Oder meint ihr ein anderes Log? Gehe über Ereignisanzeige --> Windows Protokolle --> Sicherheit
Oder meint ihr ein anderes Log? Gehe über Ereignisanzeige --> Windows Protokolle --> Sicherheit
Nimm ein Tool, welches fix die Domäne durchscannt nach Tasks und Diensten mit dem Adminkonto und fertig. Sollte es das nicht sein, sehen wir weiter. Freeware dafür: http://www.cjwdev.com/Software/ServiceCredMan/Info.html
Ok habe es über die komplette Domäne scannen lassen, leider findet sich nichts.
Wäre für weitere Tipps sehr dankbar.
Wäre für weitere Tipps sehr dankbar.
Prüfe nun am Eventlog des Servers (Bereich Sicherheit), von welcher Workstation aus die falschen Logins kommen. Dann auf der Workstation mal die gespeicherten Netzwerkcredentials anschauen.
Habe ich schon durchgeführt(s.o.) da stehen derzeit nur 6 Einträge und die sind alle vom 03.06 also gestern.
Ok, lass mich raten: falsche Kennworteingabe wird nicht einmal protokolliert? Dann nimm dies am Server: http://technet.microsoft.com/en-us/library/cc738772(v=ws.10).aspx
Als Info an alle:
Habe in den Lokalen Sicherheitsrichtlinie die Protokollierung aktiviert. Und siehe da ich habe den Übeltäter! Danke an alle
Habe in den Lokalen Sicherheitsrichtlinie die Protokollierung aktiviert. Und siehe da ich habe den Übeltäter! Danke an alle
Zitat von @badkilla:
Habe in den Lokalen Sicherheitsrichtlinie die Protokollierung aktiviert. Und siehe da ich habe den Übeltäter! Danke an
alle
Habe in den Lokalen Sicherheitsrichtlinie die Protokollierung aktiviert. Und siehe da ich habe den Übeltäter! Danke an
alle
Mußt Du Dich selbst kasteien oder war es ein luser?
lks
selbst kasteien auf die eine Art das ich da nicht sofort nachgesehen habe. Aber der "Fehler" kommt wohl von den "alten DCs" haben noch zwei die auf 2003 basieren und 2 die 2008 haben. In den nächsten Wochen kommen die alten sowieso weg. Normal sind die Anmeldeversuche protokolliert. Und Anfang Mai wurden die aber auf "Nicht aktiviert" gesetzt. Wie gesagt denke ich das es durch die alten DCs kommt.
