andre82ms
Goto Top

Domain Administrator wird automatisch deaktiviert (2008R2)

Hallo,

ich habe das Problem, das sich bei einer von mir betreuten Domain der Domänen Administrator sporadisch immer wieder deaktiviert.
Ich habe das Kennwort schon gelöscht und geplante Aufgaben sowie GPOs geprüft. Meines Wissens nach kann ich das Konto per GPO nur sperren und nicht deaktivieren, richtig!?

Es wurden schon einige Viren gefunden und bereinigt. Ich habe den Scan schon mit verschiedenen Virenscannern im Betrieb sowie via Rescue-Disk gescant.

Habt Ihr noch eine Idee, was das Deaktivieren veranlassen könnte? In der Ereignisanzeige finde ich hierzu auch nichts. Gibt es ansonsten eine Möglichkeit das Konto speziell zu schützen?

Content-ID: 294132

Url: https://administrator.de/forum/domain-administrator-wird-automatisch-deaktiviert-2008r2-294132.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

psannz
psannz 25.01.2016 aktualisiert um 08:00:39 Uhr
Goto Top
Sers,

werden Logon Versuche geloggt? Wenn nein solltest du dies in den GPO aktivieren.
Ebenfalls in den GPO prüfen nach wie vielen fehlgeschlagenen Logonversuchen das Konto (temporär) gesperrt wird.

Mit diesen Daten kombiniert kannst du über das Eventlog nachvollziehen ob nicht ein fehlerhaft eingerichtetes Gerät oder ein übereifriger User die Sperrung verursacht.

Technet: Audit logon events

Grüße,
Philip
emeriks
emeriks 25.01.2016 um 08:18:58 Uhr
Goto Top
Hi,
Du kannst das Konto umbenennen. Wenn es dann immer noch deaktiviert wird, dann ist es entweder jemand, der den neuen Namen kennt oder jemand/etwas versucht es über die SID.

E.
Andre82ms
Andre82ms 25.01.2016 aktualisiert um 08:25:12 Uhr
Goto Top
nein bislang werden Anmeldeversuche nicht geloggt.
Das Problem bezieht sich allerdings auf die Deaktivierung, nicht auf eine Sperrung des Benutzers.

Das Umbenennen muss ich noch ein wenig verschieben, da Datensicherung sowie einige andere Dienste mit dem Administrator-Konto arbeiten. (wird zukünftig auch nicht mehr mit diesem Nutzer eingerichtet... man lernt ja dazu)
emeriks
emeriks 25.01.2016 um 09:00:35 Uhr
Goto Top
OK, habe das verwechselt. Ich bezog mich auf sperren des Kontos. Deaktivieren des Domain Admins sollte per "einfacher" GPO nicht möglich sein. Also bliebe nur noch Script oder Mensch ..
DerWoWusste
DerWoWusste 25.01.2016 um 14:56:59 Uhr
Goto Top
Moin.

Aktiviere einfach die Überwachung für Account-Management auf den DCs, dann wird geloggt, wer das deaktiviert.
Andre82ms
Andre82ms 25.01.2016 um 16:25:26 Uhr
Goto Top
OK vielen Dank, ich werde es mal probieren
Andre82ms
Andre82ms 24.02.2016 um 08:39:30 Uhr
Goto Top
Es lag wohl an Viren im Netzwerk
DerWoWusste
DerWoWusste 28.02.2016 um 12:28:37 Uhr
Goto Top
Viren, die Domänenadmins deaktivieren? Da würde ich auf die Domänensicherheit nichts mehr geben und für einen Neuaufbau plädieren.
Andre82ms
Andre82ms 01.03.2016 um 15:44:38 Uhr
Goto Top
Ist auch in Planung. ist leider nicht mal eben gemacht aber steht mit höchster Prio.