4311
18.06.2008, aktualisiert am 04.10.2008
21475
7
0
Falsche Logins zurueckverfolgen
Seit kurzem wird regelmäßig mein Domänen-Admin-User vom System gesperrt. Wobei ich selbst nicht derjenige bin, der sich falsch einloggt, sondern entweder irgendein User, der Spaßhalber meine Zugangsdaten versucht oder es einfach nicht peilt, dass im Anmeldefenster nicht SEIN Name drin steht. Wobei nach einem Neustart der Benutzername immer leer ist.
Ich hab den Domain-Admin in keinen automatischen-Scrips verwendet, etc. hab schon neugestartet, hatte (als das Thema angefangen hat) mein kennwort seit 2,5 Monaten nicht mehr geändert, was ich aber nach 2maligen "user is locked out" doch vorgezogen habe.
Kennt irgendjemand eine Möglichkeit, Tool oder ein Script, mit dem man das Active-Directory so auslesen kann, dass es mir zu den fehlerhaften Logins eine entsprechende IP-Adresse (oder PC-Name, etc.) ausgibt, damit ich nach verfolgen kann, von welchem Client aus mein Konto immer gesperrt wird?
Ich kann zwar auch andauernd mit einem zweiten Domain-Admin-Account meinen Hauptaccount wieder freischalten, aber das ist ja auch keine Lösung.
Danke schon mal im Voraus
Ich hab den Domain-Admin in keinen automatischen-Scrips verwendet, etc. hab schon neugestartet, hatte (als das Thema angefangen hat) mein kennwort seit 2,5 Monaten nicht mehr geändert, was ich aber nach 2maligen "user is locked out" doch vorgezogen habe.
Kennt irgendjemand eine Möglichkeit, Tool oder ein Script, mit dem man das Active-Directory so auslesen kann, dass es mir zu den fehlerhaften Logins eine entsprechende IP-Adresse (oder PC-Name, etc.) ausgibt, damit ich nach verfolgen kann, von welchem Client aus mein Konto immer gesperrt wird?
Ich kann zwar auch andauernd mit einem zweiten Domain-Admin-Account meinen Hauptaccount wieder freischalten, aber das ist ja auch keine Lösung.
Danke schon mal im Voraus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 90135
Url: https://administrator.de/forum/falsche-logins-zurueckverfolgen-90135.html
Ausgedruckt am: 28.04.2025 um 06:04 Uhr
7 Kommentare
Neuester Kommentar
Windows-Server?
Wenn ja, dürftest du über die Verwaltung an die Ereignisanzeige kommen und dort im Sicherheitsprotokoll (dürfte in der englischen Version "Security" heißen) steht dann, wer sich wann von wo eingeloggt hat. Je nach Einstellung werden auch fehlgeschlagene Logins festgehalten, inklusive dem Namen der Workstation.
Wenn ja, dürftest du über die Verwaltung an die Ereignisanzeige kommen und dort im Sicherheitsprotokoll (dürfte in der englischen Version "Security" heißen) steht dann, wer sich wann von wo eingeloggt hat. Je nach Einstellung werden auch fehlgeschlagene Logins festgehalten, inklusive dem Namen der Workstation.
Ja, sind Windows2003-Server... Hab schon die Sicherheitsprotokolle unserer beiden Domain-Controller kontrolliert, aber dort keine Fehlgeschlagenen Logins gefunden. Die ganzen anderen Server habe ich noch nicht gecheckt, aber das wäre auch ein bisschen zeitaufwendig.
Die Sercurity-logs zeigen doch meines Wissens nur die direkten Anmeldungen an dem jeweiligen Server an... Aber ich kann mich ja auch theoretisch an einem Client mit falschem Kennwort versuchen anzumelden und dadurch den Account sperren. Somit würde dieser abgewiesene Login nicht in diesen Logs auftauchen.
Gibt es auch ein Logfile, das alle Authorisierungsanfragen im AD mitloggt?
Die Sercurity-logs zeigen doch meines Wissens nur die direkten Anmeldungen an dem jeweiligen Server an... Aber ich kann mich ja auch theoretisch an einem Client mit falschem Kennwort versuchen anzumelden und dadurch den Account sperren. Somit würde dieser abgewiesene Login nicht in diesen Logs auftauchen.
Gibt es auch ein Logfile, das alle Authorisierungsanfragen im AD mitloggt?
Hallo,
Wenn du willst, dann mache ich dir mal einen Securitycheck (kostenlos natürlich).
Interesse? - http://www.das-computer-board.de Thread unter Security-Zone 2 erstellen ;)
Gruß Bernie
Wenn du willst, dann mache ich dir mal einen Securitycheck (kostenlos natürlich).
Interesse? - http://www.das-computer-board.de Thread unter Security-Zone 2 erstellen ;)
Gruß Bernie
Hey Bernie,
Danke für das Angebot, aber einmal ist die Sicherheit bei uns schon sehr gut ausgearbeitet und andererseits hat das mit dem genannten Problem nichts zu tun.
Gruß Timo
Danke für das Angebot, aber einmal ist die Sicherheit bei uns schon sehr gut ausgearbeitet und andererseits hat das mit dem genannten Problem nichts zu tun.
Gruß Timo
Hallo alle zusammen,
wir haben bei uns gleiches Problem mit 2 Benutzern
wenn also noch jemand input dazu hat, wie man das in einer AD schnell findet ..
nur her damit
wir haben bei uns gleiches Problem mit 2 Benutzern
wenn also noch jemand input dazu hat, wie man das in einer AD schnell findet ..
nur her damit
Problem gelöst...
Es gibt ja von Microsoft dieses Windows Ressource Kit... Wenn man das installiert hat, findet man in der Regel unter "C:\Program Files\Windows Resource Kits\Tools\" die Datei "lockoutstatus.exe"
Wenn man diese öffnet, kann man nach den Usern suchen und sehen auf welchem DC (falls mehrere vorhanden sind) diese sich falsch eingeloggt haben.
Rechtsklick auf den DC und man kann das "Netlogon Log" öffnen.
Wenn dieses leer ist, muss man über "Set Netlogon Logging" die Haken auf "Misc Debug", "Logon Processing" und "Add timestamp to logfile" setzen und warten bis der User das nächste mal gelocked wird. Dann sieht man ja in der Übersicht wann und wo und kann dann das Logfile danach durchforsten und sieht den Client, von dem die falschen Logins ausgehen.
Gruß Timo
Es gibt ja von Microsoft dieses Windows Ressource Kit... Wenn man das installiert hat, findet man in der Regel unter "C:\Program Files\Windows Resource Kits\Tools\" die Datei "lockoutstatus.exe"
Wenn man diese öffnet, kann man nach den Usern suchen und sehen auf welchem DC (falls mehrere vorhanden sind) diese sich falsch eingeloggt haben.
Rechtsklick auf den DC und man kann das "Netlogon Log" öffnen.
Wenn dieses leer ist, muss man über "Set Netlogon Logging" die Haken auf "Misc Debug", "Logon Processing" und "Add timestamp to logfile" setzen und warten bis der User das nächste mal gelocked wird. Dann sieht man ja in der Übersicht wann und wo und kann dann das Logfile danach durchforsten und sieht den Client, von dem die falschen Logins ausgehen.
Gruß Timo
Hi Timo,
Danke für´s Feedback.
Haben in der Zwischenzeit Net.IQ eingeführt, darüber gehts dann auch
ein schönes Wochenende
Stefan
Danke für´s Feedback.
Haben in der Zwischenzeit Net.IQ eingeführt, darüber gehts dann auch
ein schönes Wochenende
Stefan
