3
Fehlerhafte Anmeldeversuche protokollieren
Hallo Leute,
habe folgendes Problem. Ein Domänen-Konto von uns wird dauerhaft gesperrt (Ab 10 fehlgeschlagenen Anmeldeversuchen), was die Arbeit des Mitarbeiters ziemlich einschränkt.
Wir konnten herausfinden, dass die Anmeldeversuche von verschiedenen Rechner kommen. (Evtl. veraltete Anmeldeinfos hinterlegt.)
Gibt es eine Möglichkeit auf dem Rechner zu prüfen, welche Anwendungen, Dienste oder Aufgaben eine fehlerhafte Anmeldung verursachen? (War im Eventlog nicht aufgelistet)
Sry das es so schlecht beschrieben ist.
mfg Patrick
habe folgendes Problem. Ein Domänen-Konto von uns wird dauerhaft gesperrt (Ab 10 fehlgeschlagenen Anmeldeversuchen), was die Arbeit des Mitarbeiters ziemlich einschränkt.
Wir konnten herausfinden, dass die Anmeldeversuche von verschiedenen Rechner kommen. (Evtl. veraltete Anmeldeinfos hinterlegt.)
Gibt es eine Möglichkeit auf dem Rechner zu prüfen, welche Anwendungen, Dienste oder Aufgaben eine fehlerhafte Anmeldung verursachen? (War im Eventlog nicht aufgelistet)
Sry das es so schlecht beschrieben ist.
mfg Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 511823
Url: https://administrator.de/contentid/511823
Printed on: April 25, 2024 at 15:04 o'clock
3 Comments
Latest comment
Servus Patrick,
für den Zweck hab ich mir mal ein Powershell-Skript (das lokal am Client ausgeführt wird) geschrieben, schau mal ob du damit dein Problem in den Griff bekommst.
Und nicht vergessen auch einen Blick in den Tresor (Anmeldeinformationsverwaltung) zu werfen.
Grüße Uwe
für den Zweck hab ich mir mal ein Powershell-Skript (das lokal am Client ausgeführt wird) geschrieben, schau mal ob du damit dein Problem in den Griff bekommst.
(War im Eventlog nicht aufgelistet)
Da steht aber mehr drin als man denkt. Die meisten prüfen hier nur die gängigen Logs (System/Application/Security), aber die Application/Operational-Logs geben weit mehr Infos dazu her als man auf den ersten Blick erkennt.Und nicht vergessen auch einen Blick in den Tresor (Anmeldeinformationsverwaltung) zu werfen.
<#
Get local failed logon events for scheduled tasks, services, applications
#>
cls
$logfile = "$env:TEMP\$([io.Path]::GetRandomFileName())"
do {
$days = Read-Host "What time period (days) do you want to include in the log (press ENTER for 7 Days)?"
$days = @{$true=7;$false=$days}[$days -eq '']
}until($days -match '\d+')
# startdate back in time
$start = (get-date).AddDays(-$days).Date
write-host "`nRetrieving log information starting from $($start.toString('d')), please wait...`n" -F Green
#region >> data collection <<
# scheduled tasks with logon failures
$data_tasks = Get-WinEvent -FilterHashtable @{Logname="Microsoft-Windows-TaskScheduler/Operational";Id=104;StartTime=$start}
# Services with credential errors
$data_services = Get-WinEvent -FilterHashtable @{LogName="System";ProviderName = 'Service Control Manager';Level=2;Id=7038;StartTime=$start}
# Generic Logon Events
$data_logonevents = Get-WinEvent -FilterHashtable @{LogName='Security';Id=4625;StartTime=$start}
#endregion
#region >> Log Output <<
@"
Recent Scheduled Tasks with logon credential problems:`n$('='*60)
$($data_tasks | ft TimeCreated,Message -AutoSize -Wrap | out-string)
Services with logon credential problems:`n$('='*60)
$($data_services | ft TimeCreated,Message -AutoSize -Wrap | out-string)
Generic Logon errors:`n$('='*60)
$($data_logonevents | ft TimeCreated,@{n='Application/Process';e={$_.Properties[18].Value}},@{n='Username';e={$_.Properties[6,5].Value -join '\'}} -AutoSize -Wrap | out-string)
"@ | out-file $logfile -Encoding utf8
#endregion
write-host "Opening log '$logfile'." -F Green
start notepad $logfileWir konnten herausfinden, dass die Anmeldeversuche von verschiedenen Rechner kommen.
Von verschiedenen? Au hauahauaha, da hätte aber jemand kräftig in die Sch... gegriffen wenn die Creds dort überall hinterlegt wären. Eine bereitgestellte Anwendung wäre aber auch ein möglicher Kandidat. In Zukunft => Managed Service Accounts für solche Anwendungen verwenden.Grüße Uwe
1
Moin,
immer schwierig sowas, es hilft auf jeden Fall den Mitarbeiuter zu fragen ob er mal Aufforderungen zur Passworteingabe hatte und ob er sich an das Programm erinnert.
Anmeldeinformationsverwaltung ist immer nen guter Anlaufpunkt.
Dann noch Geplante Tasks und Dienste.
Wenn da nichts zu finden ist kanns lustig werden.
Erst mal die Rechner prüfen die im Log auftauchen und schauen ob da noch ne aktive Anmeldung ist und ob die sein muss.
Edit: Vergessen, es gibt da noch dieses Lockout Tool. https://www.microsoft.com/en-us/download/details.aspx?id=18465
Grüße
immer schwierig sowas, es hilft auf jeden Fall den Mitarbeiuter zu fragen ob er mal Aufforderungen zur Passworteingabe hatte und ob er sich an das Programm erinnert.
Anmeldeinformationsverwaltung ist immer nen guter Anlaufpunkt.
Dann noch Geplante Tasks und Dienste.
Wenn da nichts zu finden ist kanns lustig werden.
Erst mal die Rechner prüfen die im Log auftauchen und schauen ob da noch ne aktive Anmeldung ist und ob die sein muss.
Edit: Vergessen, es gibt da noch dieses Lockout Tool. https://www.microsoft.com/en-us/download/details.aspx?id=18465
Grüße
