23
Anmeldung am PC nach Mitternacht
Hallo zusammen,
ich stehe vor einer Situation, bei der ich Unterstützung benötige. Ich verwalte etwa 70 Workstations, die alle identisch sind – gleiche Modelle, gleiche Softwareinstallation und alle mit der gleichen Domain verbunden.
In den Logdateien ist mir aufgefallen, dass sich drei Benutzer wiederholt außerhalb der regulären Arbeitszeiten an ihren PCs angemeldet haben. Ein Benutzer meldete sich beispielsweise um 03:34 Uhr an, ein anderer um 22:17 Uhr und einmal kurz nach Mitternacht. Dies tritt nicht täglich auf, sondern nur gelegentlich.
Ich bin mir ziemlich sicher, dass die Benutzer zu diesen Zeiten nicht im Büro waren. Könnte dies durch automatische Prozesse, wie beispielsweise Windows-Updates, verursacht werden? Doch selbst wenn das der Fall wäre, warum zeigen die Logdateien an, dass sich der Benutzer erfolgreich angemeldet hat? Schließlich werden keine Passwörter gespeichert. Wenn es z. B. Windows Update ist/war, wieso passiert es aber dann nicht auf anderen PCs?
Kann mir vielleicht jemand von euch bei diesem Problem weiterhelfen?
Vielen Dank im Voraus.
Viele Grüße
Tom
ich stehe vor einer Situation, bei der ich Unterstützung benötige. Ich verwalte etwa 70 Workstations, die alle identisch sind – gleiche Modelle, gleiche Softwareinstallation und alle mit der gleichen Domain verbunden.
In den Logdateien ist mir aufgefallen, dass sich drei Benutzer wiederholt außerhalb der regulären Arbeitszeiten an ihren PCs angemeldet haben. Ein Benutzer meldete sich beispielsweise um 03:34 Uhr an, ein anderer um 22:17 Uhr und einmal kurz nach Mitternacht. Dies tritt nicht täglich auf, sondern nur gelegentlich.
Ich bin mir ziemlich sicher, dass die Benutzer zu diesen Zeiten nicht im Büro waren. Könnte dies durch automatische Prozesse, wie beispielsweise Windows-Updates, verursacht werden? Doch selbst wenn das der Fall wäre, warum zeigen die Logdateien an, dass sich der Benutzer erfolgreich angemeldet hat? Schließlich werden keine Passwörter gespeichert. Wenn es z. B. Windows Update ist/war, wieso passiert es aber dann nicht auf anderen PCs?
Kann mir vielleicht jemand von euch bei diesem Problem weiterhelfen?
Vielen Dank im Voraus.
Viele Grüße
Tom
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 11307787979
Url: https://administrator.de/contentid/11307787979
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
23 Kommentare
Neuester Kommentar
Moin.
Kann es sein, dass die drei Benutzer sich erst gar nicht abgeldet haben?
Gruß
JoeToe
Kann es sein, dass die drei Benutzer sich erst gar nicht abgeldet haben?
Gruß
JoeToe
Moin
VPN + Remotedesktop?
Einfach mal die drei Benutzer fragen?
Gruß
VPN + Remotedesktop?
Einfach mal die drei Benutzer fragen?
Gruß
1
Moin,
eine andere Möglichkeit wäre Anmeldezeiten im AD User Objekt zu definieren...
Gruß
eine andere Möglichkeit wäre Anmeldezeiten im AD User Objekt zu definieren...
Gruß
1
In der Ereignisanzeige kannst du zwischen einer RDP-, einer interaktiven Anmeldung am Desktop und einer Anmeldung durch einen Task unterschieden.
VPN hat eigene Logs, Teamviewer z.B. auch.
VPN hat eigene Logs, Teamviewer z.B. auch.
1
Danke für eure schnelle Rückmeldung.
1. Ich habe eine GPO welche automatisch alle PCs um 20h herunterfährt.
2. VPN + Remotedesktop ist auf allen PCs deaktiviert und wird nicht verwendet.
1. Ich habe eine GPO welche automatisch alle PCs um 20h herunterfährt.
2. VPN + Remotedesktop ist auf allen PCs deaktiviert und wird nicht verwendet.
... hast Du auch verifiziert, dass es sich wirklich um genau diese Benutzerkonten handelt, die sich da anmelden? Und das der PC aus gewesen ist und eingeschaltet worden ist? Wenn ja solltest Du tatsächlich mal die Benutzer vorsichtig drauf ansprechen.
Ich hatte mal eine ähnliche Geschichte und da hat sich rausgestellt, das es das Putzteam gewesen ist. Die hatten tatsächlich in dem Betrieb einen Account, um die Pläne einsehen zu können. Die haben dann im Büro den Rechner eingeschaltet um beim Putzen Musik hören zu können.
Gruß
Ich hatte mal eine ähnliche Geschichte und da hat sich rausgestellt, das es das Putzteam gewesen ist. Die hatten tatsächlich in dem Betrieb einen Account, um die Pläne einsehen zu können. Die haben dann im Büro den Rechner eingeschaltet um beim Putzen Musik hören zu können.
Gruß
2
Mit Menschen sprechen hilft meistens ;)
4
Ich habe mal hier zwei Screenshots gemacht aus dem Event Viewer.
Ja, aber da muss man auch sehr vorsichtig sein, vor allem mit dem Normalbenutzer. Menschen neigen zu Verschwörungstheorien und glauben alles, was sie auf z. B. TikTok sehen 
Wenn ich ihnen jetzt sage, dass ich tatsächlich sehen kann, wann sich jemand am PC angemeldet und abgemeldet hat, sehe ich schon die nächsten Probleme auf mich zukommen.
Wenn ich ihnen jetzt sage, dass ich tatsächlich sehen kann, wann sich jemand am PC angemeldet und abgemeldet hat, sehe ich schon die nächsten Probleme auf mich zukommen.
kommt das jeden Tag vor, oder nur vereinzelt?
Kannst Du bestätigen das die zwei Rechner wirklich sich um 20 Uhr herunterfahren?
hast Du irgendwas mit WOL eingerichtet?
Kannst Du bestätigen das die zwei Rechner wirklich sich um 20 Uhr herunterfahren?
hast Du irgendwas mit WOL eingerichtet?
Nein, nur vereinzelt. In den letzten 30 Tagen nur 3x. Die Uhrzeiten waren aber nicht die gleichen, aber immer spät nach Mitternacht.
Mit WOL habe ich nichts eingerichtet.
Mit WOL habe ich nichts eingerichtet.
Da stimmt aber deiner Beschreibung nicht:
und
sind schon mal komplett unterschiedliche Paar Schuhe
Der Ordner SYSVOL wird von jedem Domainmitglied automatisch stündlich abgefragt.
Also schau nach ob der entsprechende Rechner lokale Eventeinträge hat.
an ihren PCs angemeldet haben
und
a network share object was accessed
sind schon mal komplett unterschiedliche Paar Schuhe
Der Ordner SYSVOL wird von jedem Domainmitglied automatisch stündlich abgefragt.
Also schau nach ob der entsprechende Rechner lokale Eventeinträge hat.
Windows hat seit Ewigkeiten Waketimer für Windowsupdate eingerichtet: der Taskplaner startet Windows, schaut nach Updates und fährt es wieder runter. EIne Nutzeranmeldung wäre hierbei nicht zu erwarten, denn Windowsupdate hat zwar die Option, den Nutzer nach erfolgten updates wieder anzumelden (ja, dabei wird der Nutzertoken kurzzeitig zwischengespeichert!), aber du sagst ja, du würdest die PCs um 20 Uhr runterfahren, ergo müssen die Sitzungen ja beendet werden.
Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
Kommt da nichts, liegt es nicht daran und wir überlegen weiter.
Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
((Get-ScheduledTask).Principal).userid | sls Nutzername
Ist folgendes Szenario möglich?
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH
Alles ist möglich, deshalb: In der lokalen Eventliste des Clients nachsehen.
Bin gerade am PC des Benutzers. Nach Eingabe in der Powershell kommt kein Output.
Zitat von @DerWoWusste:
Was noch sein kann: es gibt Tasks im Nutzerkontext, die anlaufen, sobald der PC startet. Prüfe doch mal mit
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
Kommt da nichts, liegt es nicht daran und wir überlegen weiter.
(elevated) Powershell auf dem Rechner nach, ob hierbei Output kommt (kommt nur dann, wenn Tasks als Nutzer laufen):
((Get-ScheduledTask).Principal).userid | sls NutzernameZitat von @SachsenHessi:
Ist folgendes Szenario möglich?
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH
Ist folgendes Szenario möglich?
- Energie sparen eingeschalten statt Runterfahren
- Putzkräfte schieben Maus zur Seite um den Schreibtisch zu reinigen
- PC fährt wieder hoch
- Das automatische Login ist konfiguriert
- PC läuft mit angemeldeten User
LG
SH
Keines dieser Szenarien ist möglich. Habe alles überprüft.
Keines dieser Szenarien ist möglich. Habe alles überprüft.
Warum prüftst du mögliche Scenarien nach dem Ausschlussverfahren und schaust nicht einfach nach woher es kommt?
Du hast Logs auf dem Server, Du hast Logs auf den Clients, Du hast Logs auf dem VPN Server, in den Firewalls usw.
Du kannst die IPs und die Client Hostnamen auslesen und Du kannst die Usernamen auslesen.
Hast du einen WTS? evtl. kommen die zugriffe gar nicht vom clientpc..
Ich würde die AD User nur noch zugriff auf den DOMctrl und auf deren clientpc geben und schauen was passiert.
Hast du ein NAC im Einsatz? wäre ja theoretisch möglich das sich jemand einen privatpc mitnimmt und dort seine credentials eingibt.. da hättest du keinen Einfluss darauf (sonstige iot oder handys wären natürlich auch möglich)
Ich würde die AD User nur noch zugriff auf den DOMctrl und auf deren clientpc geben und schauen was passiert.
Hast du ein NAC im Einsatz? wäre ja theoretisch möglich das sich jemand einen privatpc mitnimmt und dort seine credentials eingibt.. da hättest du keinen Einfluss darauf (sonstige iot oder handys wären natürlich auch möglich)
Bin gerade am PC des Benutzers.
Unter Einstellungen - Updateverlauf anzeigen sehe ich das unter Treiberupdates gerstern drei Treiber erfolgreich installiert wurden. Es wird aber nicht die Zeit angezeigt..
Intel Corporation - Extension - 31.0.101.5186
Realtek - SoftwareComponent - 11.0.6000.27
Intel - Extension - 2316.5.0.0
Die Option "Erhalten Sie die neustens Updates, sobald sie verfügbar sind" ist deaktiviert.
Was ich noch überprüft habe ist: im Gerätemanager unter Netzwerkadapter - Intel ethernet Connection (17) I219-LM - unter Eigenschaften - Erweitert - war hier Akt.über Magic Packet und Aktivieren aus S0ix über Magic Packet aktiviert. Ich habe es jetzt auf deaktiviert gesetzt.
Im Event Viewer gibt es unter Security von gestern ab 03:30 nur Ereignis-IDs: 4689, 4702, 4647,4688,
Unter System: ein Event-ID 6009 war gesternum 9h, aber 6006 erst um 03:35. Er scheint sich nicht ausgesschaltet zu haben um 20h.
Ich habe jetzt in der Aufgabenplanung noch einmal alles überprüft. Es steht ein Task "Computer Shutdown" jeden Tag um 20h.
Mal sehen ob das was bringt.
Er scheint sich nicht ausgesschaltet zu haben um 20h.
Und dein Shutdown-Task macht das auch mit Enforcement?shutdown -f -s -t 0
solltest Du nehmen.
1
Da haste ja schon, der Rechner war nicht aus. Das erkennt man auch z.B. deutlich an evtl vorhandenen Zeitlücken in den vielen Events. Jedes booten und aufwachen erzeugt ebenfalls filterbare Events.
Wenn der Rechner eingeschaltet war, dann ist der Zugriff auf SYSVOL normal, er updatet stündlich die GPOs.
Wenn der Rechner eingeschaltet war, dann ist der Zugriff auf SYSVOL normal, er updatet stündlich die GPOs.
Zitat von @DerWoWusste:
shutdown -f -s -t 0
solltest Du nehmen.
Er scheint sich nicht ausgesschaltet zu haben um 20h.
Und dein Shutdown-Task macht das auch mit Enforcement?shutdown -f -s -t 0
solltest Du nehmen.
Ja, mache ich, nur habe ich /s /f /t 300
