5
User wird gesperrt - Bad PW Count Problem
Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292752
Url: https://administrator.de/contentid/292752
Printed on: April 20, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hi.
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
Sind die Daten ggfs. im Tresor mit abgespeichert? ggfs. Tresor leeren.
Hallo,
und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?
Gruß
Chonta
und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?
Gruß
Chonta
Danke!
Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.
Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.
Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.
In welchen Logs soll ich denn genau nach was ausschau halten?
Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.
Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.
Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.
In welchen Logs soll ich denn genau nach was ausschau halten?
Hallo,
in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)
Gruß
Chonta
in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)
Gruß
Chonta
