Event ID 4776 Anmeldekonto entspricht Arbeitsstation - Was ist das?

Hallo, ich finde im Sicherheitsprotokoll der Domäne Einträge im folgenden Format:

Ereignis ID 4776
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: PCNAME$
Arbeitsstation: PCNAME
Fehlercode =0xC0000064

Laut Fehlercode ist der Anmeldename falsch.
Leuchtet ein, aber wie kommt es dazu, dass der Anmeldename der Name der Arbeitsstation mit einem $ hinten dran ist?

Was ist das für eine Abfrage, die dort stattfindet?

Und noch eine Frage: Wenn ich das Protkoll nach "Benutzer" filtern möchte ... welches Wildcard funktioniert? * und % tun es nicht. Ich wollte mir mall alle mit "$" endenden Workstations auflisten lassen.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 417673

Url: https://administrator.de/contentid/417673

Ausgedruckt am: 19.11.2024 um 17:11 Uhr

1 Kommentar

Das Dollar am Ende steht für das zugehörige Computerkonto, da wirst du nichts finden das hat jeder Computer der Domain automatisch.
Und ja auch Computer haben Passwörter mit denen sie in der Domäne legitimieren. Und auch die können ablaufen und werden im Defaultzustand automatisch alle 30 Tage erneuert.
Belese dich dazu hier:
https://adsecurity.org/?p=280

Zum Event
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.a ...

gelöst Frage Microsoft Windows Userverwaltung

Mehr von pcpanik

GPO gesucht um Kontobenachrichtigung im Windows 11 Startmenü abzuschaltenpcpanik - 3 Kommentare

WSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?pcpanik - 24 Kommentare

DELL CPU Branding Frage abschalten möglich?pcpanik - 4 Kommentare

WinUpdate Server 2019 o. Domäne - 0x800b0109 (nicht ordnungsgemäß signiert)pcpanik - 3 Kommentare

Heiß diskutiert