voda81
Goto Top

Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(

Hey,
ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch wieder sperrt. Gehe ich hin & ändere die User-Eigenschaften von "Benutzeranmeldenamen" + "Benutzeranmeldename (Prä-Windows 2000)" von "Nachname" in "NachnameX" wird das Konto nicht mehr gesperrt.
Ich würde ja irgendwo einen Dienst vermuten, der dieses Konto "Nachname" sperrt, kann aber leider nichts finden. Gibt es sonst noch eine Möglichkeit, das Problem ausfindig zu machen?
Ich würde mich über ein Feedback sehr freuen.

Danke & Beste Grüße,
VoDa

Content-ID: 247031

Url: https://administrator.de/forum/domaenen-admin-konto-wird-direkt-nach-aufhebung-der-kontosperrung-wieder-gesperrt-247031.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

Chonta
Chonta 21.08.2014 um 10:01:20 Uhr
Goto Top
Hallo,

schalte das loggen der erfolgreichen und erfolglosen Anmeldeversuche ein und durchforste die Logs nach fehlgeschlagenen Anmeldungen.
Mitunter wird da die IP angegeben.
Wenn es geplante Tasks gibt die mit den Anmeldedaten erfolgen oder ein Mailprogramm das versucht sich einzuloggen, aber die falschen Daten hat oder ein Brutforce läuft kann das schon passieren.

Gruß

Chonta
VoDa81
VoDa81 22.08.2014 um 09:27:18 Uhr
Goto Top
Hi Chonto,

habe ich gemacht, Dank Dir. Bin auch schon einen Schritt weiter, aber leider noch nicht am Ziel. Das Log hat mir folgendes ausgeworfen:

Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

DETAIL -
2 user registry handles leaked from \Registry\User\"UserID":
Process 324 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\"UserID"\Printers\DevModePerUser
Process 2264 (\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe) has opened key \REGISTRY\UserID\Software\Symantec\Symantec Endpoint Protection\AV\Custom Tasks

Es muss ja auch einem der Server zu dem Vorgang kommen, da sich der User direkt & an verschiedensten Plätzen sperrt. Kann ich die Prozesse irgendwo "killen"?


Beste Grüße,
VoDa
Chonta
Chonta 22.08.2014 um 09:56:01 Uhr
Goto Top
Hallo,

was hat das was du jetzt gepostet hast mit der Kontosperrung zu tun?
Eine Kontosperrung für einen Benutzer kann nur auftreten, wenn irgend ein Dienst/Anwendung/Jemand versucht mit dem Benutzernamen und einem nicht dazu passenden Passwort versicht eine Anmeldung durchzuführen.
Der Login und Sicherheitsverstoß wird nur auf einem der vorhandenen Domaincontroller gelogt.
In diesem Log steht normalerweise auch die IP oder der Name des Servers von dem aus der fehlgeschlagene Login erfolgte.
Bei fehlgeschlagenen Login die von außerhalb z.B. über SMTP oder HTTP erfolgen kann es sein das keine Rechnerangabe auftaucht.

Der Benutzer sperrt sich nicht an verschiedenen Plätzen, ein falscher Login kann aber von überall kommen.
Von wo muss aber im Logfile der fehlgeschlagenen Anmeldung drin stehen.
Wenn der Servername/IP nicht drin steht, dann ist es evtl eine Anmeldung über einen Internetdienst.

Gruß

Chonta
emeriks
emeriks 22.08.2014 aktualisiert um 13:16:04 Uhr
Goto Top
Hi,
@VoDa81
Wie Chonta schreibt: Klappere alle Server und Workstations ab, und suche dort nach Diensten und Sheduled Task, welche möglicherweises dieses Konto benutzen und noch das alte Passwort drin stehen haben. Ebenso irgendwelche Dienste/Programme/Scripte, die in ihren Konfigurationen dieses Konto hinterlegt haben könnten.

Es ist auch ein sehr alter, ungeschickter Fehler, ein interaktiv genutztes Konto für Dienste und/oder Scheduled Task zu verwenden!
Wenn Du den Dienst/Task gefunden hast, dann erstellst Du ein dediziertes Konto dafür, gibts diesem die erforderlichen Berechtigungen, und benutzt dieses für den Dienst/Task. Für dieses Konto auch einstellen, dass das Passwort niemals abläuft. Nimm ein langes, kryptisches Passwort, wenn Du diesem Konto weitreichende Rechte erteilen musst.
ggf. auch mehrer Konten erstellen, wenn es mehrere Dienste betrifft.

E.
VoDa81
VoDa81 22.08.2014 um 13:50:32 Uhr
Goto Top
Dank Euch für die Info! Ich denke ja auch, dass es irgendein Dienst mit dem entsprechenden User Konto ist. Nur hatte ich gehofft, den Dienst auf einen Server eingrenzen zu können (ohne jeden Server abzuklappern)... Dann werde ich mich jetzt mal auf die Suche machen face-wink

Beste Grüße,
VoDa
Chonta
Chonta 22.08.2014 um 14:20:49 Uhr
Goto Top
Hallo,

es muss im übrigen kein Dienst sein.
Es kkönnen auch in Outlook oder bei einem Smartphone hinterlegte Anmeldeinformationen für den Mailserver sein.
Habe schon öffer Benutzer gehabt, die sich so gesperrt hatten, weil PC Passwort geändert aber ans Handy nicht gedacht.
Es kann auch eine gepeicherte netzwerkfreigabe sein, die mit Zugangsdaten angelegt wurde und nicht mir Domänenzugang.

Gruß

Chonta
108012
108012 22.08.2014 um 14:47:32 Uhr
Goto Top
Hallo zusammen,

Ist eventuell nur das Passwort abgelaufen?
Oder ist dort eingetragen worden Passwort nach xyz Tagen immer ändern in eine neues?
Greift man eventuell von außerhalb auf den Server zu und das ist so nicht hinterlegt worden?
Ist das Konto an eine IP Adresse, MAC Adresse oder einen bestimmten Bereich gebunden
und nun wird von wo ganz anderes zugegriffen?

Gruß
Dobby
VoDa81
VoDa81 22.08.2014 um 14:56:39 Uhr
Goto Top
Nee, sein Kennwort "läuft nie ab" & meldet sich intern an seinem Rechner an. Wird wohl echt schwierig, das Problem zu finden...
108012
108012 22.08.2014 um 15:06:19 Uhr
Goto Top
Wird wohl echt schwierig, das Problem zu finden...
Das sollte aber eigentlich in einer Protokolldatei (Logfile)
stehen und auch warum der Account gesperrt wird.

Gruß
Dobby
falkoz
falkoz 23.08.2014 um 16:34:19 Uhr
Goto Top
Wenn es quasi "sofort" wieder gesperrt wird, würde ich nicht unbedingt bei Diensten, Postfächern oder Handys suchen, die sind in der Regel schlau genug nur einen Versuch zu machen und dann abzubrechen. Aber wie sieht's den mit Netzwerk-Geräten aus, die sich im Normalfall ehr dämlich verhalten? Ich denk da vielleicht an ein NAS, einen Netzwerk-Scanner oder vielleicht eine Netzwerk-Webcam, die versuchen Mails zu verschicken oder Daten auf ein Share zu legen?