5
User wird gesperrt - Bad PW Count Problem
Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292752
Url: https://administrator.de/contentid/292752
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
Sind die Daten ggfs. im Tresor mit abgespeichert? ggfs. Tresor leeren.
Hallo,
und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?
Gruß
Chonta
und der hat ein festes Passwort oder musste es vor kurzem ändern?
Irgendwo ein Laufwerk mit seinem Namen und einem alten Passwort gemapt das dann die Sperrung auslöst?
Gruß
Chonta
Danke!
Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.
Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.
Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.
In welchen Logs soll ich denn genau nach was ausschau halten?
Passwort läuft nicht ab und ist seit Jahren das selbe.
Windows Tresor ist leer.
Scheduled Tasks hat er keine.
Hab ein Programm deinstalliert das vielleicht was damit zu tun hat (Telefonsoftware) mal sehen.
Ich habe die Logs am DC überprüft, wie soll ich richtig suchen?
hab wie gesagt Netlogon überprüft und mittels EnentCombMT gesucht.
In welchen Logs soll ich denn genau nach was ausschau halten?
Hallo,
in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)
Gruß
Chonta
in den Sicherheitslogs auf dem DC (alles DCs) suchen nach ID 4625 (Falsches Passwort) und 4740 (gesperrt)
Gruß
Chonta
