User wird gesperrt - Bad PW Count Problem
Hallo,
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
habe ein Problem mit einem einzelnen Benutzer (windows 7) AD Server ist Windows 2008R2.
Problem: Der Benutzer hat seinen PC immer laufen + Iphone mit Emails via Exchange.
Nun läuft (getrackt mittels Lockout Status Tools von microsoft) der Bad PW Count immer auf 1-2 , ab und zu halt leider auch auf 3 wodurch sein account gelockt wird. (bemerkt er dann weil er viel unterwegs ist das sein iphone schreibt das die mails nicht abgerufen werden)
Der PC wurde von mir danach neu Aufgesezt, hat aber nichts geholfen.
Im Netlogon fällt mir folgendes zu den Zeiten wo ein Bad PW gesetzt wird folgendes auf:
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Entered
01/11 13:46:35 [LOGON] MeineDomain: SamLogon: Transitive Network logon of (null)\Benutzer@meinedomain.local from PC (via ExchangeServer) Returns 0xC000006A
Mit dem Tool EventCombMT habe ich nach folgenden Events gesucht: 529 644 675 676 6814740 4625 Aber nichts nennenswertes gefunden.
Hat jemand einen Hinweis wo ich noch suchen könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292752
Url: https://administrator.de/forum/user-wird-gesperrt-bad-pw-count-problem-292752.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
5 Kommentare
Neuester Kommentar
Hi.
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen
bist Du denn sicher, das Log richtig gelesen zu haben und am richtigen PC zu forschen? Die IP, wo das ausgelöst wurde, steht ja im Eventlog des DCs.
Meist sind die Gründe
-Credential manager
-Scheduled tasks
-Programme, die AD-Konten verwenden und zwischenspeichern
-Dienste, die unsinnigerweise unter dem Konto laufen