4
Einige Benutzerkonten werden ständig gesperrt
Windows 2003 Domäne; Clients: Windows XP SP2; laufende Updates
Guten Morgen,
Ich bin seit Wochen auf der Suche nach einer Lösung in Foren und Internet für unser mittlerweile brisantes Problem:
Nach drei erfolglosen Anmeldeversuchen sollen die Benutzerkonten gesperrt werden (klappt auch tadellos).
Nur: Einige ca. 5 Benutzer werden jedoch bereits nach nur einem falschen Anmeldeversuch gesperrt.
Meine Vermutung, dass die GPO nicht richtig gezogen wurde, wurde durch die RSoP am Server und auch von den Clients nicht bestätigt. GPOs werden korrekt mit 3 Falschanmeldeversuchen übrnommen. In der Ereignisanzeige habe ich auf den Clients auch nichts auffälliges finden können.
Das einzig unterschiedliche bei diesen Benutzern ist, dass diese mit Notebooks arbeiten, welche mit SafeGuardEasy geschützt sind.
Die 5 User sind schon sehr verärgert, da diese auch teilweise am Wochenende arbeiten müssen.
Diese Benutzer haben keine Laufwerke mit veralteten Anmeldeinformationen gemappt oder irgendwelche Dienste laufen, welche den "Falschanmeldezähler" inkrementieren.
Lokale Benutzerkonten dürfen wir laut Firmenrichtlinie nicht in unserem Netzwerk anlegen bzw. verwenden.
Vielleicht kennt jemand dieses Problem und kann mir einen Tipp zur Lösung geben.
Auf jeden Fall Frohe Weihnachten und einen Guten Rutsch ins Jahr 2007.
Danke
Karinska
Guten Morgen,
Ich bin seit Wochen auf der Suche nach einer Lösung in Foren und Internet für unser mittlerweile brisantes Problem:
Nach drei erfolglosen Anmeldeversuchen sollen die Benutzerkonten gesperrt werden (klappt auch tadellos).
Nur: Einige ca. 5 Benutzer werden jedoch bereits nach nur einem falschen Anmeldeversuch gesperrt.
Meine Vermutung, dass die GPO nicht richtig gezogen wurde, wurde durch die RSoP am Server und auch von den Clients nicht bestätigt. GPOs werden korrekt mit 3 Falschanmeldeversuchen übrnommen. In der Ereignisanzeige habe ich auf den Clients auch nichts auffälliges finden können.
Das einzig unterschiedliche bei diesen Benutzern ist, dass diese mit Notebooks arbeiten, welche mit SafeGuardEasy geschützt sind.
Die 5 User sind schon sehr verärgert, da diese auch teilweise am Wochenende arbeiten müssen.
Diese Benutzer haben keine Laufwerke mit veralteten Anmeldeinformationen gemappt oder irgendwelche Dienste laufen, welche den "Falschanmeldezähler" inkrementieren.
Lokale Benutzerkonten dürfen wir laut Firmenrichtlinie nicht in unserem Netzwerk anlegen bzw. verwenden.
Vielleicht kennt jemand dieses Problem und kann mir einen Tipp zur Lösung geben.
Auf jeden Fall Frohe Weihnachten und einen Guten Rutsch ins Jahr 2007.
Danke
Karinska
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 47279
Url: https://administrator.de/contentid/47279
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
hast du mal das Programm "SafeGuardEasy" auf einem NB deinstalliert. Somit siehst du gleich, ob es daran liegt.
Gruß
Dani
hast du mal das Programm "SafeGuardEasy" auf einem NB deinstalliert. Somit siehst du gleich, ob es daran liegt.
Gruß
Dani
Hi Karinska
Klingt auf den ersten Blick tatsächlich etwas "brisant"!
Installiere dir auf deiner lokalen "AD-Benutzer und -Computer Konsole" den "Account Lockout" Zusatz. (acctinfo.dll)
So kannst du dem Problem sehr Schnell auf die Spur kommen.
gretz drop
Klingt auf den ersten Blick tatsächlich etwas "brisant"!
Installiere dir auf deiner lokalen "AD-Benutzer und -Computer Konsole" den "Account Lockout" Zusatz. (acctinfo.dll)
So kannst du dem Problem sehr Schnell auf die Spur kommen.
gretz drop
Guten Morgen,
vielen Dank für Deine Antwort.
Werde Deinen Vorschlag in die Tat umsetzen und anschliessend Bescheid geben.
Tschüss
Karinska
vielen Dank für Deine Antwort.
Werde Deinen Vorschlag in die Tat umsetzen und anschliessend Bescheid geben.
Tschüss
Karinska
Hallo drop_ch,
mithilfe von acctinfo.dll und lockoutstatus.exe glaube ich auf der richtigen Spur zu sein. Ich habe zwei mögliche Lösungsansätze für unser Problem gefunden:
I.) 3 der 5 User haben laut der zusätlichen Registerkarte "additional account info" Passwörter, welche im November abgelaufen sind. Diese User lassen sich das Benutzerkonto und die Passwörter von einem Kollegen immer nur entsperren, ändern aber NIE proaktiv auf deren Notebooks die Kennwörter. D. h. normalerweise sollte das Benutzerkonto am DC enstperrt werden UND das Kennwort zurückgesetzt werden mit dem Haken für neues Kennwort bei Einstieg o. ä. Wird von meinem Kollegen nicht konsequent genug umgesetzt. (Man möchte doch die User nicht mit einem neuen Kennwort verärgern ;-( )
II.) Laut lockoutstatus hapert´s auch an der Synchronisation zwischen unseren beiden DCs. Da liegen Tage dazwischen! Der ältere der beiden DCs wird aber auch aus anderen Gründen in den nächsten Wochen abgelöst.
Danke auf jeden Fall
Karinska
mithilfe von acctinfo.dll und lockoutstatus.exe glaube ich auf der richtigen Spur zu sein. Ich habe zwei mögliche Lösungsansätze für unser Problem gefunden:
I.) 3 der 5 User haben laut der zusätlichen Registerkarte "additional account info" Passwörter, welche im November abgelaufen sind. Diese User lassen sich das Benutzerkonto und die Passwörter von einem Kollegen immer nur entsperren, ändern aber NIE proaktiv auf deren Notebooks die Kennwörter. D. h. normalerweise sollte das Benutzerkonto am DC enstperrt werden UND das Kennwort zurückgesetzt werden mit dem Haken für neues Kennwort bei Einstieg o. ä. Wird von meinem Kollegen nicht konsequent genug umgesetzt. (Man möchte doch die User nicht mit einem neuen Kennwort verärgern ;-( )
II.) Laut lockoutstatus hapert´s auch an der Synchronisation zwischen unseren beiden DCs. Da liegen Tage dazwischen! Der ältere der beiden DCs wird aber auch aus anderen Gründen in den nächsten Wochen abgelöst.
Danke auf jeden Fall
Karinska
