maniax88
Goto Top

Nach Kennwort-Änderung - Domänen-Admin ist gesperrt

Das Konto des Domänen-Administrators wird seit der Kennwort-Änderung permanent gesperrt.

Hallo liebe Admins,

nach der Änderung des Kennworts des Domänen-Administrators wird das entsprechende Konto permanent gesperrt. Von einer GPO wird dies nach 4 falschen Eingabeversuchen veranlasst. Meine Frage nun: Gibt es eine Möglichkeit heraus zu finden, welcher Dienst / Server / Client noch das alte Passwort eingetragen hat? Bzw. lässt sich feststellen von welcher IP / Computernamen das Kennwort 4x falsch durchgereicht wird?

Es handelt sich um eine reine Windows 2003 / Windows XP Domäne.

Kann mir irgend jemand weiterhelfen? Ist auf Dauer echt nervig... ^^

Vielen Dank im Voraus.

Viele Grüße

Maniax

Content-ID: 119626

Url: https://administrator.de/forum/nach-kennwort-aenderung-domaenen-admin-ist-gesperrt-119626.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

markus-tausendfreund
markus-tausendfreund 02.07.2009 um 16:35:02 Uhr
Goto Top
Hallo Maniax,

im Sicherheitslog sollte zumindest das Ereignis auftauchen und da sollte in den Details mehr zu erfahren sein.

Ich hoffe Du findest Deinen Dienst.
mfg
Markus
2hard4you
2hard4you 02.07.2009 um 16:43:31 Uhr
Goto Top
also die billige Tour - schau auf dem DC nach, wer sich da als Admin einloggen will, und wie erfolgreich (Security-Log)

die kostenlose Tour - ändere das Passwort zurück und schau dann im Eventlog

die harte Tour - zieh Dir von allen PCs die Dienste, wer wo was startet (Reskit) - und passe das an

gibt noch paar Varianten, aber mach die erst mal ^^^

24
Maniax88
Maniax88 02.07.2009 um 16:46:44 Uhr
Goto Top
Hallo Markus,

danke für die rasante Antwort!

---------------------------------------------------------------
Aus dem Sicherheitslog lässt sich leider nicht viel in Erfahrung bringen:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 539
Datum: 02.07.2009
Zeit: 16:04:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: Administrator
Domäne: DOMAIN1
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVER01
Aufruferbenutzername: SERVER01$
Aufruferdomäne: DOMAIN1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 4616
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.144.52
Quellport: 2560


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------
In diesem Fall habe ich versucht, mich mit dem Administrator-Konto per Remotedesktop auf unseren DC zu schalten und erhalte dann die Fehlermeldung, dass das Konto gesperrt ist. Anschließend muss ich über das Active Directory das Administrator-Konto wieder entsperren und kann mich dann wieder normal anmelden. Bis das Konto dann wieder gesperrt wird.

Grüße

Maniax
Maniax88
Maniax88 02.07.2009 um 16:56:00 Uhr
Goto Top
Sooo,

hab eben nochmals genauer nachgeschaut und hab ein entsprechendes Ereignis auf dem DC gefunden. Der entsprechende Server ist entlarvt und den Dienst habe ich inzwischen gefunden! Sehr gut! Vielen Dank Euch beiden für die schnelle Hilfe. Top face-smile

Viele Grüße

Maniax
markus-tausendfreund
markus-tausendfreund 02.07.2009 um 17:03:16 Uhr
Goto Top
Hallo Maniax,

Lt MS bezieht sich die anmeldung auf einen RDP Userverbindung.

Anmeldetyp 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.

Wenn du das selber sein solltest hilft Dir das nicht weiter.

Unter http://support.microsoft.com/kb/171148/en-us könnte Dir vielleicht auch weiter geholfen werden es geht zwar hier nicht direkt um benanntes Betriebssystem aber vielleicht kommst ja dann noch auf einen Idee die Dir weiterhilft.

Gruß
Markus
2hard4you
2hard4you 02.07.2009 um 18:39:32 Uhr
Goto Top
dann passt das doch - es gibt eine wirklich harte Rule - nie einen Service unter nem ablaufbaren Acc starten......

oder nem veränderbaren, wie auch immer - ein Service - ein Acc

24
Maniax88
Maniax88 03.07.2009 um 07:48:58 Uhr
Goto Top
@Markus danke nochmals für die Mühen.

@24

Ja, da hast Du vollkommen Recht. Leider habe ich die IT in diesem Unternehmen von einem externen Dienstleister übernommen und dort scheint das wohl noch nicht bekannt gewesen zu sein...

Danke für Eure schnelle Hilfe!

Grüße

Maniax
Maniax88
Maniax88 03.07.2009 um 07:54:59 Uhr
Goto Top
Habe im Sicherheitslog eine weitere Meldung gefunden:


Fehlgeschlagene Vorbestätigung:
Benutzername: administrator
Benutzerkennung: DOMAIN1\Administrator
Dienstname: krbtgt/DOMAIN1
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x12
Clientadresse: 192.168.144.2


Wisst Ihr rein zufällig was "krbtgt" ist?

Maniax