Domain Admin mehrmals am Tag deaktiviert
Hallo an alle,
seit knapp 2 Wochen ist mein Domain Admin Account mehrmals am Tag deaktiviert, ich muss dann immer den Zeitintervall von 60 Minuten warten, bis ich den Account wieder nutzen kann.
Am Domaincontroller haben wir bereits gesehen, von welchem PC dies geschieht. Es ist ein 0815 Office PC, auf dem ich auch schon mit meinem Domain Admin gearbeitet habe, zwecks Installation/Konfiguration. Dies trifft aber auf jeden PC in der Firma zu.
An diesem Office PC ist kein Netzlaufwerk, Task, Batch oder ähnliches mit meinem Domain Admin Account erstellt oder am laufen. Der PC läuft mit dem eigenen Useraccount, der lokale Admin Rechte hat.
Hier noch ein paar Logs aus seinen Windows 7 Events (dort unter Security):
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: meinAccount
Domäne: meineDomain
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: PC0001
Type: Failure Audit Logon Type: 2 ID: 529
Wie kann ich jetzt herausfinden, welcher Prozess / Programm / Vorgang hier ständig mit meinem Admin Acc versucht sich mit falschem PW irgendwo anzumelden? Wie kann ich das Problem lösen? Ich komme jederzeit gerne mit weiteren Infos falls nötig. Vielen Dank im voraus!
seit knapp 2 Wochen ist mein Domain Admin Account mehrmals am Tag deaktiviert, ich muss dann immer den Zeitintervall von 60 Minuten warten, bis ich den Account wieder nutzen kann.
Am Domaincontroller haben wir bereits gesehen, von welchem PC dies geschieht. Es ist ein 0815 Office PC, auf dem ich auch schon mit meinem Domain Admin gearbeitet habe, zwecks Installation/Konfiguration. Dies trifft aber auf jeden PC in der Firma zu.
An diesem Office PC ist kein Netzlaufwerk, Task, Batch oder ähnliches mit meinem Domain Admin Account erstellt oder am laufen. Der PC läuft mit dem eigenen Useraccount, der lokale Admin Rechte hat.
Hier noch ein paar Logs aus seinen Windows 7 Events (dort unter Security):
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: meinAccount
Domäne: meineDomain
Anmeldetyp: 2
Anmeldevorgang: Advapi
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: PC0001
Type: Failure Audit Logon Type: 2 ID: 529
Wie kann ich jetzt herausfinden, welcher Prozess / Programm / Vorgang hier ständig mit meinem Admin Acc versucht sich mit falschem PW irgendwo anzumelden? Wie kann ich das Problem lösen? Ich komme jederzeit gerne mit weiteren Infos falls nötig. Vielen Dank im voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220196
Url: https://administrator.de/forum/domain-admin-mehrmals-am-tag-deaktiviert-220196.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Dann geh dochmal logisch vor.
Welcher Dienst steht auf automatischer start ist aber ned gestartet? welche geplante Aufgabe hat einen Fehler.
Was steht im Autostart?
msconfig
Alles ausser Windows deaktivieren -> kommts noch? wenn nein -> paar sachen aktivieren -> prüfen -> mehr sachen aktivieren -> usw..
Wenn das nix bringt ist procmon dein Freund.
Grüße
Dann geh dochmal logisch vor.
Welcher Dienst steht auf automatischer start ist aber ned gestartet? welche geplante Aufgabe hat einen Fehler.
Was steht im Autostart?
msconfig
Alles ausser Windows deaktivieren -> kommts noch? wenn nein -> paar sachen aktivieren -> prüfen -> mehr sachen aktivieren -> usw..
Wenn das nix bringt ist procmon dein Freund.
Grüße
versuche dich mal unter nem anderen user anzumelden und im taskmanage alleprozesse anzeigen vielleich geht das.
sonst systemreperatur oder komplette neuinstallation
sonst systemreperatur oder komplette neuinstallation
Hallo,
in dem Zusammenhang ein paar Anmerkungen:
1. Ein paar mehr Zeilen aus dem Ereignisprotokoll eines dieser Einträge wären sicher hilfreich ;)
Bitte suche nach einer Zeile "Prozess-ID", steht hier etwas? Falls ja, vermutlich ein Hexadezimal-Wert,
der mit der wissenschaftlichen Ansicht des Programms Rechner im Zweifelsfall umgewandelt werden kann.
Im Taskmanager -> Prozesse dann nach der Prozess-ID suchen (ggf. über Ansicht -> Spalten auswählen -> PID hinzufügen).
Taucht diese PID in den Prozessen auf? Falls ja, wie heißt dieser Prozess? Auf jeden Fall alle Prozesse einblenden.
2. Wurde seitdem der Fehler auftritt ein neues Programm installiert oder Windows Updates eingespielt?
Unter Windows Update -> Installierte Updates nach "Installiert am" sortieren...
3. Weitere Anlaufstelle unter Start nach "Zuverlässigkeitsüberwachung" gucken. Falls es hier gehäuft Programmfehler gab,
lässt sich dies evtl. auch hieran ablesen.
4. Unter http://www.microsoft.com/en-us/download/details.aspx?id=15201 findet sich das Tool LockOutStatus.exe, welches
detailliertere Fehler-Info über einen gesperrten Account geben könnte. Nach Installation der heruntergeladenen MSI-Datei
findet man das Programm unter C:\Program Files (x86)\Windows Resource Kits\Tools.
Hoffe, das bringt Dich der Lösung Deines Problems etwas näher.
in dem Zusammenhang ein paar Anmerkungen:
1. Ein paar mehr Zeilen aus dem Ereignisprotokoll eines dieser Einträge wären sicher hilfreich ;)
Bitte suche nach einer Zeile "Prozess-ID", steht hier etwas? Falls ja, vermutlich ein Hexadezimal-Wert,
der mit der wissenschaftlichen Ansicht des Programms Rechner im Zweifelsfall umgewandelt werden kann.
Im Taskmanager -> Prozesse dann nach der Prozess-ID suchen (ggf. über Ansicht -> Spalten auswählen -> PID hinzufügen).
Taucht diese PID in den Prozessen auf? Falls ja, wie heißt dieser Prozess? Auf jeden Fall alle Prozesse einblenden.
2. Wurde seitdem der Fehler auftritt ein neues Programm installiert oder Windows Updates eingespielt?
Unter Windows Update -> Installierte Updates nach "Installiert am" sortieren...
3. Weitere Anlaufstelle unter Start nach "Zuverlässigkeitsüberwachung" gucken. Falls es hier gehäuft Programmfehler gab,
lässt sich dies evtl. auch hieran ablesen.
4. Unter http://www.microsoft.com/en-us/download/details.aspx?id=15201 findet sich das Tool LockOutStatus.exe, welches
detailliertere Fehler-Info über einen gesperrten Account geben könnte. Nach Installation der heruntergeladenen MSI-Datei
findet man das Programm unter C:\Program Files (x86)\Windows Resource Kits\Tools.
Hoffe, das bringt Dich der Lösung Deines Problems etwas näher.