Sperrung AD-Account
Hallo zusammen,
benötige euer Schwarm Wissen.
Wir haben einen AD-Benutzer, welcher seit 4 Monaten mittlerweile täglich gesperrt wird. Lt. Lockoutstatus.exe wird das Kennwort fast genau alle 5 Minuten falsch eingegeben. Im Event log unseres DCs wird dazu aber nichts angezeigt.
Getestet habe ich folgendes:
- Austausch des Notebooks
- Neuerstellung des AD-Accounts
- Neueinrichtung des Smartphones (nutzen die Windowscredentials auch zur Authentifizierung am RADIUS und EXO)
- Ausschalten von Notebook und Handy (BadLogin findet trotzdem statt ?!)
Habt ihr noch Anhaltspunkte, woran es liegen kann?
Beste Grüße und Danke schon mal für alle Antworten
benötige euer Schwarm Wissen.
Wir haben einen AD-Benutzer, welcher seit 4 Monaten mittlerweile täglich gesperrt wird. Lt. Lockoutstatus.exe wird das Kennwort fast genau alle 5 Minuten falsch eingegeben. Im Event log unseres DCs wird dazu aber nichts angezeigt.
Getestet habe ich folgendes:
- Austausch des Notebooks
- Neuerstellung des AD-Accounts
- Neueinrichtung des Smartphones (nutzen die Windowscredentials auch zur Authentifizierung am RADIUS und EXO)
- Ausschalten von Notebook und Handy (BadLogin findet trotzdem statt ?!)
Habt ihr noch Anhaltspunkte, woran es liegen kann?
Beste Grüße und Danke schon mal für alle Antworten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3966312241
Url: https://administrator.de/contentid/3966312241
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
32 Kommentare
Neuester Kommentar
Moin,
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?
Grüße
Tristan
klingt so als ob es nicht an dem Notebook / User liegt, sondern der Login von irgendwo automatisiert stattfindet. Gibt ja einige Geräte (Drucker zum Beispiel für Laufwerke, WLAN, ...), welche automatische Logins alle x Minuten erneut durchführen, falls der Login nicht funktioniert.
Ist das Problem das erste Mal nach einer Passwortänderung aufgetreten, so dass irgendwo ein altes Passwort hinterlegt ist?
Grüße
Tristan
Zitat von @JohnJHarlock:
Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct
Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
Ja, unsere M365 ist über einen Azure-Sync angebunden und wird alle 30 Minuten gesynct
Zitat von @user217:
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Gehst du DC Ereignisprotokollierung Security und suchst eventid 4740, dort steht meistens drinnen von wo aus diese sperrung kam. Bei mehreren DC's logischerweise auf allen nachschauen, alternativ ein anständiges Monitoring z.B. zabbix laufen lassen dann weißt du sowas vor dem anruf des users.
Jedes mal, wenn der Benutzer gesperrt wurde, habe ich die Eventlogs geprüft. Zu der Event-ID 4740 gibt es keinen Eintrag über diesen Benutzer
na dann eben die 4625
Moin,
Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?
Ich hatte mal ein ähnliches Problem mit einem Mail-Konto auf einem iPad welches ohne Nachfrage permanent das Konto mit falschem Login malträtiert hat. Konnte das dann mit gezielten Netzwerkmittschnitten auf den Grund gehen. War eine tolle Schnitzeljagd.
Sprich Datenverkehr zum AD monitoren und darauf warten, dass das Event auftritt und dann auf die Suche gehen was die Quelle ist.
Vielleicht findet die Anmeldung ja über MS365 statt und die Sperrung synct dann aufs lokale AD?
Ich muss korrigieren, habe bei dem Event 4740 einen passenden Eintrag gefunden, jedoch mit einem leeren Aufrufcomputername.
Verwendet ihr die "Azure AD Connect Passthrough-Authentifizierung?" Dann würde der fehlende Computername passen und die Fehlanmeldungen beim lokalen AD aufschlagen, oder?
Ich hatte mal ein ähnliches Problem mit einem Mail-Konto auf einem iPad welches ohne Nachfrage permanent das Konto mit falschem Login malträtiert hat. Konnte das dann mit gezielten Netzwerkmittschnitten auf den Grund gehen. War eine tolle Schnitzeljagd.
Sprich Datenverkehr zum AD monitoren und darauf warten, dass das Event auftritt und dann auf die Suche gehen was die Quelle ist.
Moin!
Das Phänomen hatten wir auch mal. Hat sich dann rausgestellt dass der Kollege noch ein altes iPad hatte, dass den Mailaccount eingetragen hatte. Das iPad hatte seine kleine Tochter damals dann noch zum Spielen und so verwendet sodass es regelmäßig ein uns ausgeschaltet wurde.
Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.
Gruß,
Tjelvar
Das Phänomen hatten wir auch mal. Hat sich dann rausgestellt dass der Kollege noch ein altes iPad hatte, dass den Mailaccount eingetragen hatte. Das iPad hatte seine kleine Tochter damals dann noch zum Spielen und so verwendet sodass es regelmäßig ein uns ausgeschaltet wurde.
Prüft doch mal ob noch irgendwo ein altes Gerät existiert dass das Konto eingerichtet haben könnte.
Gruß,
Tjelvar
Hat der MA eventuell ein weiteres "privat" Gerät zuhause eingerichtet damit er die Mails von der Firma z.B. auf dem Tablet seiner Frau lesen kann? Dann hat er das ewig nicht mehr verwendet und das Tablet versucht dann immer auf die Mails zuzugreifen ?
Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?
Alternativ kann es ggf. auch mit Lexware zusammenhängen. Das hatten wir mal.
Was passiert denn wenn du dem Benutzer sein altes Kennwort wieder setzt also das bevor das ganze angefangen hat ?
Ist das der Spuk vorbei ?