8
Nach Kennwort-Änderung - Domänen-Admin ist gesperrt
Das Konto des Domänen-Administrators wird seit der Kennwort-Änderung permanent gesperrt.
Hallo liebe Admins,
nach der Änderung des Kennworts des Domänen-Administrators wird das entsprechende Konto permanent gesperrt. Von einer GPO wird dies nach 4 falschen Eingabeversuchen veranlasst. Meine Frage nun: Gibt es eine Möglichkeit heraus zu finden, welcher Dienst / Server / Client noch das alte Passwort eingetragen hat? Bzw. lässt sich feststellen von welcher IP / Computernamen das Kennwort 4x falsch durchgereicht wird?
Es handelt sich um eine reine Windows 2003 / Windows XP Domäne.
Kann mir irgend jemand weiterhelfen? Ist auf Dauer echt nervig... ^^
Vielen Dank im Voraus.
Viele Grüße
Maniax
Hallo liebe Admins,
nach der Änderung des Kennworts des Domänen-Administrators wird das entsprechende Konto permanent gesperrt. Von einer GPO wird dies nach 4 falschen Eingabeversuchen veranlasst. Meine Frage nun: Gibt es eine Möglichkeit heraus zu finden, welcher Dienst / Server / Client noch das alte Passwort eingetragen hat? Bzw. lässt sich feststellen von welcher IP / Computernamen das Kennwort 4x falsch durchgereicht wird?
Es handelt sich um eine reine Windows 2003 / Windows XP Domäne.
Kann mir irgend jemand weiterhelfen? Ist auf Dauer echt nervig... ^^
Vielen Dank im Voraus.
Viele Grüße
Maniax
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119626
Url: https://administrator.de/contentid/119626
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Maniax,
im Sicherheitslog sollte zumindest das Ereignis auftauchen und da sollte in den Details mehr zu erfahren sein.
Ich hoffe Du findest Deinen Dienst.
mfg
Markus
im Sicherheitslog sollte zumindest das Ereignis auftauchen und da sollte in den Details mehr zu erfahren sein.
Ich hoffe Du findest Deinen Dienst.
mfg
Markus
also die billige Tour - schau auf dem DC nach, wer sich da als Admin einloggen will, und wie erfolgreich (Security-Log)
die kostenlose Tour - ändere das Passwort zurück und schau dann im Eventlog
die harte Tour - zieh Dir von allen PCs die Dienste, wer wo was startet (Reskit) - und passe das an
gibt noch paar Varianten, aber mach die erst mal ^^^
24
die kostenlose Tour - ändere das Passwort zurück und schau dann im Eventlog
die harte Tour - zieh Dir von allen PCs die Dienste, wer wo was startet (Reskit) - und passe das an
gibt noch paar Varianten, aber mach die erst mal ^^^
24
Hallo Markus,
danke für die rasante Antwort!
---------------------------------------------------------------
Aus dem Sicherheitslog lässt sich leider nicht viel in Erfahrung bringen:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 539
Datum: 02.07.2009
Zeit: 16:04:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: Administrator
Domäne: DOMAIN1
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVER01
Aufruferbenutzername: SERVER01$
Aufruferdomäne: DOMAIN1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 4616
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.144.52
Quellport: 2560
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------
In diesem Fall habe ich versucht, mich mit dem Administrator-Konto per Remotedesktop auf unseren DC zu schalten und erhalte dann die Fehlermeldung, dass das Konto gesperrt ist. Anschließend muss ich über das Active Directory das Administrator-Konto wieder entsperren und kann mich dann wieder normal anmelden. Bis das Konto dann wieder gesperrt wird.
Grüße
Maniax
danke für die rasante Antwort!
---------------------------------------------------------------
Aus dem Sicherheitslog lässt sich leider nicht viel in Erfahrung bringen:
Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 539
Datum: 02.07.2009
Zeit: 16:04:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: Administrator
Domäne: DOMAIN1
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVER01
Aufruferbenutzername: SERVER01$
Aufruferdomäne: DOMAIN1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 4616
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.144.52
Quellport: 2560
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------
In diesem Fall habe ich versucht, mich mit dem Administrator-Konto per Remotedesktop auf unseren DC zu schalten und erhalte dann die Fehlermeldung, dass das Konto gesperrt ist. Anschließend muss ich über das Active Directory das Administrator-Konto wieder entsperren und kann mich dann wieder normal anmelden. Bis das Konto dann wieder gesperrt wird.
Grüße
Maniax
Sooo,
hab eben nochmals genauer nachgeschaut und hab ein entsprechendes Ereignis auf dem DC gefunden. Der entsprechende Server ist entlarvt und den Dienst habe ich inzwischen gefunden! Sehr gut! Vielen Dank Euch beiden für die schnelle Hilfe. Top
Viele Grüße
Maniax
hab eben nochmals genauer nachgeschaut und hab ein entsprechendes Ereignis auf dem DC gefunden. Der entsprechende Server ist entlarvt und den Dienst habe ich inzwischen gefunden! Sehr gut! Vielen Dank Euch beiden für die schnelle Hilfe. Top
Viele Grüße
Maniax
Hallo Maniax,
Lt MS bezieht sich die anmeldung auf einen RDP Userverbindung.
Anmeldetyp 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
Wenn du das selber sein solltest hilft Dir das nicht weiter.
Unter http://support.microsoft.com/kb/171148/en-us könnte Dir vielleicht auch weiter geholfen werden es geht zwar hier nicht direkt um benanntes Betriebssystem aber vielleicht kommst ja dann noch auf einen Idee die Dir weiterhilft.
Gruß
Markus
Lt MS bezieht sich die anmeldung auf einen RDP Userverbindung.
Anmeldetyp 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
Wenn du das selber sein solltest hilft Dir das nicht weiter.
Unter http://support.microsoft.com/kb/171148/en-us könnte Dir vielleicht auch weiter geholfen werden es geht zwar hier nicht direkt um benanntes Betriebssystem aber vielleicht kommst ja dann noch auf einen Idee die Dir weiterhilft.
Gruß
Markus
dann passt das doch - es gibt eine wirklich harte Rule - nie einen Service unter nem ablaufbaren Acc starten......
oder nem veränderbaren, wie auch immer - ein Service - ein Acc
24
oder nem veränderbaren, wie auch immer - ein Service - ein Acc
24
@Markus danke nochmals für die Mühen.
@24
Ja, da hast Du vollkommen Recht. Leider habe ich die IT in diesem Unternehmen von einem externen Dienstleister übernommen und dort scheint das wohl noch nicht bekannt gewesen zu sein...
Danke für Eure schnelle Hilfe!
Grüße
Maniax
@24
Ja, da hast Du vollkommen Recht. Leider habe ich die IT in diesem Unternehmen von einem externen Dienstleister übernommen und dort scheint das wohl noch nicht bekannt gewesen zu sein...
Danke für Eure schnelle Hilfe!
Grüße
Maniax
Habe im Sicherheitslog eine weitere Meldung gefunden:
Fehlgeschlagene Vorbestätigung:
Benutzername: administrator
Benutzerkennung: DOMAIN1\Administrator
Dienstname: krbtgt/DOMAIN1
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x12
Clientadresse: 192.168.144.2
Wisst Ihr rein zufällig was "krbtgt" ist?
Maniax
Fehlgeschlagene Vorbestätigung:
Benutzername: administrator
Benutzerkennung: DOMAIN1\Administrator
Dienstname: krbtgt/DOMAIN1
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x12
Clientadresse: 192.168.144.2
Wisst Ihr rein zufällig was "krbtgt" ist?
Maniax
