Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

User wird gesperrt - Bad PW Count Problem

Mitglied: gk3000

gk3000 (Level 1) - Jetzt verbinden

11.01.2016 um 14:10 Uhr, 585 Aufrufe, 5 Kommentare

Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.


Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)

Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.

Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:

01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A

Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.

Hat jemand einen Hinweis wo ich noch suchen könnte?
Mitglied: DerWoWusste
11.01.2016 um 14:21 Uhr
Hi.

bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
Bitte warten ..
Mitglied: xbast1x
11.01.2016 um 14:21 Uhr
Sind die Daten ggfs. im Tresor mit abgespeichert? ggfs. Tresor leeren.
Bitte warten ..
Mitglied: Chonta
11.01.2016 um 15:18 Uhr
Hallo,

und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?

Gruß

Chonta
Bitte warten ..
Mitglied: gk3000
11.01.2016 um 15:30 Uhr
Danke!

Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.

Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.

Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.

In welchen Logs soll ich denn genau nach was ausschau halten?
Bitte warten ..
Mitglied: Chonta
11.01.2016 um 15:33 Uhr
Hallo,

in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)

Gruß

Chonta
Bitte warten ..
Ähnliche Inhalte
Apache Server
Bad Request
Frage von HacktoxXApache Server6 Kommentare

Guten Tag, habe seit einigen Tagen das Problem, dass wenn ich über http auf meine Website zugreifen will, einen ...

Windows Netzwerk
Wo wird ein User-Konto gesperrt?
Frage von jan99Windows Netzwerk2 Kommentare

Moin ! ich bin nicht die IT bei uns - möchte aber dennoch helfen die Ursache zu finden. Ausgangssituation ...

Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server23 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Server
Domänenadmin PW
Frage von SYS64738Windows Server22 Kommentare

Hallo zusammen, ich habe heute mal test weise in meiner Testumgebung das Domänen Administrator PW meines MS 2016 Servers ...

Neue Wissensbeiträge
Google Android

Heise: Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 6 StundenGoogle Android4 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 17 StundenWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 1 TagInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 1 TagDatenschutz6 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Heiß diskutierte Inhalte
Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung12 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell12 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
Frage von Epixc0reHumor (lol)11 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...

Netzwerkgrundlagen
Netzwerk IP Kamera nur an einem Rechner sichtbar
Frage von Lutz-ReNetzwerkgrundlagen9 Kommentare

Guten Abend Ich hab in einem IP 4 Netzwerk mit gleichen Subnetz zwei Kameras mit festen IP Adresse und ...