W10: Kurioses Anmeldeverhalten
Hallo zusammen,
wir haben hier in unserer Domäne ab und ein sehr verwirrendes Verhalten an unseren Clients.
Also:
Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Nach Eingabe des Kennwortes kommt die Meldung:
Das angegebene Konto ist momentan gesperrt und kann für die Anmeldung nicht genutzt werden.
Konten werden bei uns nach mehrmaliger Falscheingabe für 30min gesperrt - Was in diesem Fall aber meist nicht zutrifft.
Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Was hilft, ist folgender "Umweg":
Der Nutzer wählt im Anmeldedialog die Anmeldung als anderer Benutzer aus und gibt seinen Usernamen + Kennwort ein.
Die Anmeldung funktioniert dann ohne Probleme.
Ich frage mich, wo die Rechner einen Pfurz quer sitzen haben.
Wo ist der Unterschied zwischen der gespeicherten Anmeldemaske des zuletzt angemeldeten Nutzers und dem Dialog "als anderer Benutzer...".
Nun muss ich zugeben, dass wir hier etwas unglücklich im AD unterwegs sind.
1. Lautet unsere AD-Domain "firma.com" -> Wir sind aber nicht der Inhaber der Internetdomain "firma.com".
2. Haben wir bei den User Logon Namen auch etwas Chaos.
User Logon Name ist vorname.nachname@firma-branche.de
Pre-Win2000 User ist Firma-com\NamenskürzelDesUsers (man achte auf den Bindestrich zwischen Firma und com).
Vielleicht kann sich ja jemand einen Reim daraus machen.
Vielen Dank im Voraus!
wir haben hier in unserer Domäne ab und ein sehr verwirrendes Verhalten an unseren Clients.
Also:
Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Nach Eingabe des Kennwortes kommt die Meldung:
Das angegebene Konto ist momentan gesperrt und kann für die Anmeldung nicht genutzt werden.
Konten werden bei uns nach mehrmaliger Falscheingabe für 30min gesperrt - Was in diesem Fall aber meist nicht zutrifft.
Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Was hilft, ist folgender "Umweg":
Der Nutzer wählt im Anmeldedialog die Anmeldung als anderer Benutzer aus und gibt seinen Usernamen + Kennwort ein.
Die Anmeldung funktioniert dann ohne Probleme.
Ich frage mich, wo die Rechner einen Pfurz quer sitzen haben.
Wo ist der Unterschied zwischen der gespeicherten Anmeldemaske des zuletzt angemeldeten Nutzers und dem Dialog "als anderer Benutzer...".
Nun muss ich zugeben, dass wir hier etwas unglücklich im AD unterwegs sind.
1. Lautet unsere AD-Domain "firma.com" -> Wir sind aber nicht der Inhaber der Internetdomain "firma.com".
2. Haben wir bei den User Logon Namen auch etwas Chaos.
User Logon Name ist vorname.nachname@firma-branche.de
Pre-Win2000 User ist Firma-com\NamenskürzelDesUsers (man achte auf den Bindestrich zwischen Firma und com).
Vielleicht kann sich ja jemand einen Reim daraus machen.
Vielen Dank im Voraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672517
Url: https://administrator.de/forum/w10-kurioses-anmeldeverhalten-672517.html
Ausgedruckt am: 10.05.2025 um 05:05 Uhr
10 Kommentare
Neuester Kommentar
Moin,
ich würde ja mal auf DNS und den Domänennamen tippen.
Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.
Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.
Stefan
ich würde ja mal auf DNS und den Domänennamen tippen.
Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.
Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.
Stefan
Ich würde mal das lokale Profil vollständig löschen dann sollte es wieder funzen. Schau auch mal im Profilordner ob da irgendwelchen verwaisten Profile des Users liegen mit 00001 oder Temp etc.
Hm...ist es denn wirklich sein Konto, das ihm angezeigt wird oder nur ein ähnliches?
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).
Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).
Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Zitat von @StefanKittel:
Moin,
ich würde ja mal auf DNS und den Domänennamen tippen.
Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.
Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.
Stefan
Das vermute ich auch.Moin,
ich würde ja mal auf DNS und den Domänennamen tippen.
Outlook hat z.B. eine Vorrangregelung für M365 eingebaut.
Wenn Du ein Konto hinzufügst, prüft Outlook ob es diese Domäne in M365 findet. Wenn dies der Fall ist wird das reguläre Autodiscover übersprungen.
Ich kann mir vorstellen, dass Windows bei der Anmeldung sowas auch hat. Die andere Firme/Domäne wird zu M365 hinzugefügt und Windows schaut unregelmäßig dort nach und wechselt dann einfach ohne Rückfragen.
Stefan
Problem ist halt, dass ich so eine Konstellation mit dem "falschen" AD-DNS Namen noch nicht hatte.
Office365, Autodiscover usw. funktioniert ansonsten völlig fehlerfrei.
Zitat von @maulwurf222:
Ich würde mal das lokale Profil vollständig löschen dann sollte es wieder funzen. Schau auch mal im Profilordner ob da irgendwelchen verwaisten Profile des Users liegen mit 00001 oder Temp etc.
Wie erwähnt.. es funktioniert ja wieder nachdem man den Namen per Hand eingegeben hat.Ich würde mal das lokale Profil vollständig löschen dann sollte es wieder funzen. Schau auch mal im Profilordner ob da irgendwelchen verwaisten Profile des Users liegen mit 00001 oder Temp etc.
Ist auch nicht so als ob der Fehler am nächsten Tag wieder da ist.
Passiert halt nur ab und an und der Weg über die manuelle Eingabe funktioniert dann sofort.
Zitat von @kpunkt:
Hm...ist es denn wirklich sein Konto, das ihm angezeigt wird oder nur ein ähnliches?
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).
Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Ja, es ist wirklich das Konto des Nutzers. Da meldet sich dann auch kein anderer User an. Das Gerät wird Abends normal heruntergefahren und morgens kann sich der User dann nicht anmelden -> Aber halt nur ab und an.Hm...ist es denn wirklich sein Konto, das ihm angezeigt wird oder nur ein ähnliches?
Was findet sich denn alles unter c:\users?
Also so eine wüste Geschichte wie geänderter Anzeigename und beim Runterfahren kackt die Kiste ab und merkt sich nur den letzten User der beim letzten Booten angezeigt wurde (eben der falsche).
Wüst und ich weiß nicht ob Windows das beim Login auch so machen könnte, aber ich hab schon irre Application-Accounts gesehen, die im Usernamen ein Leerzeichen an Ende hatten und dieses auch immer standardmäßig beim Start der Application angezeigt wurde.
Wir haben mehrere Hundert Nutzer und vielleicht so 1-2 Meldungen pro Woche.
Mal Wireshark dazwischenklemmen? Könnte mir auch sowas wie von @StefanKittel beschrieben vorstellen
Zitat von @Michi91:
Mal Wireshark dazwischenklemmen? Könnte mir auch sowas wie von @StefanKittel beschrieben vorstellen
Mal Wireshark dazwischenklemmen? Könnte mir auch sowas wie von @StefanKittel beschrieben vorstellen
Das doofe ist ja, dass es nicht reproduzierbar ist.
Irgendwann meldet sich einer und hat jetzt dieses Verhalten.
Wireshark ist dann an dem System nicht verfügbar und ein dazwischenklemmen mit Port Mirroring ist mir doch ein wenig zu aufwendig und ich wüsste auch garnicht, wonach ich da gucken soll.
Aber danke für den Input.
Hallo,
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?
Und ein Kabelhai am DC und Anmeldungen mitschnorcheln. Wireshark, woran erkenne Ich eine AD Anmeldung
https://www.scada-secure.de/downloads/wireshark-dissector-f%C3%BCr-ads/
https://www.reddit.com/r/wireshark/comments/17q3e4h/failed_ad_logins/?rd ...
Gruss,
Peter
Zitat von @Knorkator:
Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Immer der gleiche Mitarbeiter/Rechner?Ein Mitarbeiter startet seinen Rechner morgens, drückt die geliebte Tastenkombi STRG+ALT+ENT und gibt sein Kennwort ein.
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?
Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Weisst du woher? Spielt dein DC im AD eigentlich Lotto?Und ein Kabelhai am DC und Anmeldungen mitschnorcheln. Wireshark, woran erkenne Ich eine AD Anmeldung
https://www.scada-secure.de/downloads/wireshark-dissector-f%C3%BCr-ads/
https://www.reddit.com/r/wireshark/comments/17q3e4h/failed_ad_logins/?rd ...
Gruss,
Peter
Hi,
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)
Zitat von @Pjordorf:
Immer der gleiche Mitarbeiter/Rechner?
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?
Nein, weder PC noch User sind identisch.Immer der gleiche Mitarbeiter/Rechner?
Schon mal in den Logs des Clients geschaut was da drin steht, da steht ne menge an Infos drin zum Anmelden/verweigerte Anmeldung. Auch am betreffenden DC steht sehr viel in Log warum eine Anmeldung nicht erfolgreich ist/war.
Immer am gleichen DC? Replizierung OK?
Zitat von @Pjordorf:
Na von der "Active Directory Users an Computers" Konsole auf einem DC.Das Konto ist nicht gesperrt, also kann ich hier auch nichts entsperren.
Weisst du woher? Spielt dein DC im AD eigentlich Lotto?Eine Kontosperrung wird, meines Wissens nach, direkt an alle DCs repliziert.
Was meinst Du mit "Spielt Dein DC eigentlich Lotto?"
Und ein Kabelhai am DC und Anmeldungen mitschnorcheln. Wireshark, woran erkenne Ich eine AD Anmeldung
https://www.scada-secure.de/downloads/wireshark-dissector-f%C3%BCr-ads/
https://www.reddit.com/r/wireshark/comments/17q3e4h/failed_ad_logins/?rd ...
Danke für die Links, ich schaue es mir mal in einer Testumgebung an!https://www.scada-secure.de/downloads/wireshark-dissector-f%C3%BCr-ads/
https://www.reddit.com/r/wireshark/comments/17q3e4h/failed_ad_logins/?rd ...
Das blöde ist ja, dass der Fehler nur ab und an erscheint.
Hier müsste ich Wireshark dauerhaft laufen lassen (das Aufzeichnungsverhalten wird man ja auf die entsprechenden Ports einschränken können) und bin mir nicht sicher, ob das Mitschneiden in dieser Art erlaubt ist.
Zitat von @ManuManu2021:
Hi,
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)
Hi,
das über GPO Benutzername beim PC starten leer ist hattest du bestimmt auch schon überlegt.
Man kann ja auch den Splashscreen abschalten. (um ein Klick zu sparen)
Hi,
Das hätte ich sogar gesehen.
Nein, ist nicht aktiv.
Die betreffenden Geräte haben nur den einen Hauptbenutzer.
