5
Rechner in Domäne fährt hoch und meldet sich mit Domänenuser an
Hallo zusammen,
ich habe zurzeit ein Problem, bei dem ich absolut ratlos bin, evtl kann mir jemand von euch weiterhelfen.
Ein MA rief mich an, dass sein Rechner jeden Montag, wenn er ins Büro kommt, eingeschaltet sei. Um sicherzugehen ob es am Rechner oder Netzwerk liegt empfahl ich ihm das Netzwerkkabel zu entfernen. Rechner wurde nicht eingeschaltet, also kommt der Bootbefehl über das Netzwerk. Das einfachste wäre nun natürlich einfach WOL im BIOS abzuschalten, aber dies würde meine Administratorenehre vereltzen ;P
Die Frage die ich mir zuerst stellte war natürlich wo der Befehl genau herkommt. Da wir eine Softwareverteilung einsetzen liegt es nahe, dass diese etwas zu installieren versucht. Habe jedoch gegengecheckt und festgestellt, dass alle Softwarepakete installiert sind, keine Updates ausstehen usw.
In der Aufgabenplanung ist auch nichts enthalten was zum boot führen könnte. Laut Eventlog fährt der Rechner zu unterschiedlichen Zeiten hoch. Mal mittags gegen 5 mal in der Nacht. Jobs der Softwareverteilung laufen nur zwischen 9-15 Uhr.
Jetzt kommt jedoch das kurioseste an der ganzen Sache: Der MA hat soeben angerufen, dass nun nach dem WE der Rechner gebootet wurde und er angemeldet sei. Er ist also schon direkt auf dem Desktop (mit seinem Profil) und kann theoretisch anfangen zu arbeiten. Nach einem Neustart bekommt er dann wieder die Standard-Windows 7 Anmeldemaske.
Hat vielleicht jemand einen Ansatz wo ich weitersuchen kann? Drehe mich zurzeit ziemlich im Kreis bei diesem Problem...
Freundlicher Gruß
ich habe zurzeit ein Problem, bei dem ich absolut ratlos bin, evtl kann mir jemand von euch weiterhelfen.
Ein MA rief mich an, dass sein Rechner jeden Montag, wenn er ins Büro kommt, eingeschaltet sei. Um sicherzugehen ob es am Rechner oder Netzwerk liegt empfahl ich ihm das Netzwerkkabel zu entfernen. Rechner wurde nicht eingeschaltet, also kommt der Bootbefehl über das Netzwerk. Das einfachste wäre nun natürlich einfach WOL im BIOS abzuschalten, aber dies würde meine Administratorenehre vereltzen ;P
Die Frage die ich mir zuerst stellte war natürlich wo der Befehl genau herkommt. Da wir eine Softwareverteilung einsetzen liegt es nahe, dass diese etwas zu installieren versucht. Habe jedoch gegengecheckt und festgestellt, dass alle Softwarepakete installiert sind, keine Updates ausstehen usw.
In der Aufgabenplanung ist auch nichts enthalten was zum boot führen könnte. Laut Eventlog fährt der Rechner zu unterschiedlichen Zeiten hoch. Mal mittags gegen 5 mal in der Nacht. Jobs der Softwareverteilung laufen nur zwischen 9-15 Uhr.
Jetzt kommt jedoch das kurioseste an der ganzen Sache: Der MA hat soeben angerufen, dass nun nach dem WE der Rechner gebootet wurde und er angemeldet sei. Er ist also schon direkt auf dem Desktop (mit seinem Profil) und kann theoretisch anfangen zu arbeiten. Nach einem Neustart bekommt er dann wieder die Standard-Windows 7 Anmeldemaske.
Hat vielleicht jemand einen Ansatz wo ich weitersuchen kann? Drehe mich zurzeit ziemlich im Kreis bei diesem Problem...
Freundlicher Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232814
Url: https://administrator.de/contentid/232814
Printed on: April 18, 2024 at 23:04 o'clock
5 Comments
Latest comment
Hi,
schon in der Registry geschaut? Viren/Trojaner Check auf dem Rechner gemacht?
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
AutoAdminLogon=1 -> auf 0 setzen
DefaultUserName=<UserName>
DefaultDomainName=<DomainName>
DefaultUserPassword=<Password>
VG
schon in der Registry geschaut? Viren/Trojaner Check auf dem Rechner gemacht?
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
AutoAdminLogon=1 -> auf 0 setzen
DefaultUserName=<UserName>
DefaultDomainName=<DomainName>
DefaultUserPassword=<Password>
VG
Hi
Das hört sich an als würde der PC ein eigenleben entwickeln.
Da das Problem nicht auftaucht wenn das Netzwerk nicht angeschlossen ist würde ich nach den standard Aufgaben wie Virenprüfung, Automatische Tasks kontrollieren usw. einen kleinen HUB oder Switch(mit Managment) zwischen den Rechner und das Netzwerk hängen und den Trafik des PCs mit einem Sniffer wie zb. Wireshark mitschneiden. Wenn du dann ins eventlog schaust und siehst das sich den PC um 23:14 Uhr eingeschaltet hat musst du nur noch im Log von Wireshark nachschauen welcher Trafik da gelaufen ist und von wo die Packete kommen.
Wenn man die Quelle des bösen kennt kann man dann weitersuchen.
LG Andy
Das hört sich an als würde der PC ein eigenleben entwickeln.
Da das Problem nicht auftaucht wenn das Netzwerk nicht angeschlossen ist würde ich nach den standard Aufgaben wie Virenprüfung, Automatische Tasks kontrollieren usw. einen kleinen HUB oder Switch(mit Managment) zwischen den Rechner und das Netzwerk hängen und den Trafik des PCs mit einem Sniffer wie zb. Wireshark mitschneiden. Wenn du dann ins eventlog schaust und siehst das sich den PC um 23:14 Uhr eingeschaltet hat musst du nur noch im Log von Wireshark nachschauen welcher Trafik da gelaufen ist und von wo die Packete kommen.
Wenn man die Quelle des bösen kennt kann man dann weitersuchen.
LG Andy
Moin,
Als paranoiker würde ich sagen, daß steuert jemand den rechner üebrs netz fern, nachdem er sich die zugangsdaten vom benutzer abgegriffen hat.
Das einfachste wäre, einfach einen Sniffer in die Leitung zu hängen und zu schauen, was sich am Wochenende auf der Leitung tut.
lks
Als paranoiker würde ich sagen, daß steuert jemand den rechner üebrs netz fern, nachdem er sich die zugangsdaten vom benutzer abgegriffen hat.
Das einfachste wäre, einfach einen Sniffer in die Leitung zu hängen und zu schauen, was sich am Wochenende auf der Leitung tut.
lks
1
:D :D :D
Das mit der automatischen Anmeldung finde ich gerade sehr amüsant :D
Sry.
Also ich schließe mich "Lochkartenstanzer" an.
Auch wenn es mit der automatischen Anmeldung sehr kurios und beängstigend ist, würde
ich zunächst prüfen, woher der Befehl überhaupt kommt.
Das kannst du, wie Lochkartenstanzer auch schon mitgeteilt hat, über einen Netzwerksniffer machen.
• Wake on Lan Monitor
• WireShark
Wenn das geklärt ist, wird sich evtl. auch die Frage klären, weshalb der Benutzer bereits angemeldet war.
Hoffe du teilst deine Erkenntnis nachher mit uns :D
Beste Grüße & viel Erfolg :p
Das mit der automatischen Anmeldung finde ich gerade sehr amüsant :D
Sry.
Also ich schließe mich "Lochkartenstanzer" an.
Auch wenn es mit der automatischen Anmeldung sehr kurios und beängstigend ist, würde
ich zunächst prüfen, woher der Befehl überhaupt kommt.
Das kannst du, wie Lochkartenstanzer auch schon mitgeteilt hat, über einen Netzwerksniffer machen.
• Wake on Lan Monitor
• WireShark
Wenn das geklärt ist, wird sich evtl. auch die Frage klären, weshalb der Benutzer bereits angemeldet war.
Hoffe du teilst deine Erkenntnis nachher mit uns
:DBeste Grüße & viel Erfolg :p
Sooo, kurzes Update:
Unter der Woche ist der Rechner nicht neugestartet.
Ich hatte nun am Freitag einfach mal die MAC Adresse des Rechners in der Softwareveteilung entfernt und siehe da, der Rechner ist übers Wochenende nicht gestartet. Der Kollege hat die Woche Urlaub. Die MAC Adresse hab ich mittlerweile wieder eingetragen und warte darauf dass der PC startet
Liegt wohl doch an der SW-Verteilung...
Vielen Dank für eure Hilfe und Anregungen!
Unter der Woche ist der Rechner nicht neugestartet.
Ich hatte nun am Freitag einfach mal die MAC Adresse des Rechners in der Softwareveteilung entfernt und siehe da, der Rechner ist übers Wochenende nicht gestartet. Der Kollege hat die Woche Urlaub. Die MAC Adresse hab ich mittlerweile wieder eingetragen und warte darauf dass der PC startet
Liegt wohl doch an der SW-Verteilung...
Vielen Dank für eure Hilfe und Anregungen!
