gk3000
Goto Top

User wird gesperrt - Bad PW Count Problem

Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.


Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)

Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.

Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:

01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A

Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.

Hat jemand einen Hinweis wo ich noch suchen könnte?

Content-ID: 292752

Url: https://administrator.de/forum/user-wird-gesperrt-bad-pw-count-problem-292752.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

DerWoWusste
DerWoWusste 11.01.2016 um 14:21:06 Uhr
Goto Top
Hi.

bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
xbast1x
xbast1x 11.01.2016 um 14:21:56 Uhr
Goto Top
Sind die Daten ggfs. im Tresor mit abgespeichert? ggfs. Tresor leeren.
Chonta
Chonta 11.01.2016 um 15:18:44 Uhr
Goto Top
Hallo,

und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?

Gruß

Chonta
gk3000
gk3000 11.01.2016 um 15:30:35 Uhr
Goto Top
Danke!

Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.

Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.

Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.

In welchen Logs soll ich denn genau nach was ausschau halten?
Chonta
Chonta 11.01.2016 um 15:33:20 Uhr
Goto Top
Hallo,

in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)

Gruß

Chonta