Win10 Pro in AD - Benutzerkonto wird gesperrt

Hi,
wir haben an einem unserer Standorte das Problem, dass bei einigen wenigen Computern mit Win10 Pro das lokal angemeldete Benutzerkonto (Domäne) immer mal wieder gesperrt wird. Die betreffenden Benutzer arbeiten jeweils nur an einem ("ihren") Computer und ggf. noch in von dort aus gestarteten Citrix Sitzungen.
Laut Eventlog der DCs erfolgt die Sperrung dann auch immer - und nur - von diesen Workstations aus.

Angeblich geben die Benutzer ihre Passwörter immer korrekt ein. Defekte Tastaturen (z.B. klemmendes Shift) wurden ausgeschlossen.
Es soll so sein, dass dieses Verhalten - wenn, dann - auftritt, wenn der Computer gesperrt war und der Benutzer die Sperre aufheben will.
Das Passwort wurde zwischenzeitlich nicht geändert. Es gibt - bei diesen Benutzern - auch keine Smartphones o.ä. wo ein altes Passwort gespeichert sein könnte.
Und nein, es könne auch ausgeschlossen werden, dass da jemand anderer versucht, den Computer unberechtigt zu entsperren.

Ich kann das leider nur als Hörensagen wiedergeben. Meine Kollegen vor Ort haben das so von den Anwendern genannt bekommen. Das müssen wir erstmal so glauben.

Was meint Ihr? Ist das wahrscheinlich? Gibt es da einen (bekannten?) Bug?

Ich persönlich tendiere ganz klar zu falscher Eingabe durch den Benutzer. Weil mir das selbst auch immer mal wieder passiert. Nur dass ich es dann nicht bis zur Sperre immer wieder versuche sondern dann kurz innehalte und es dann konzentriert (und richtig) eingebe.

Hat jemand ne Idee?

E.

Content-Key: 591689

Url: https://administrator.de/contentid/591689

Ausgedruckt am: 25.07.2021 um 11:07 Uhr

Mitglied: devanager
devanager 29.07.2020 um 11:40:28 Uhr
Goto Top
Hallo

"Wecken" diese User ihre Clients jeweils mit mehrmaligem Druck auf die Enter-Taste auf? Bzw.: ist der Sperrbildschirm aktiv?

Gruss devanager
Mitglied: DerWoWusste
DerWoWusste 29.07.2020 um 11:45:07 Uhr
Goto Top
Hi.

In der Regel liegt es an zwischengespeicherten Credentials, die automatisch von Hintergrundprozessen verwendet werden. Schau mal in den Credential Manager.
Mitglied: canlot
canlot 29.07.2020 um 11:46:23 Uhr
Goto Top
Hi,

es könnte sein dass in einer Anwendung die Benutzerdaten gespeichert worden sind, wofür auch immer.
Ich hatte diesen Fall in meiner alten Firma auch gehabt, bis ich rausgefunden habe, dass es eine Anwendung gibt wo die Credentials für den Internet-Proxy gespeichert waren und es immer wieder versucht wurde sich gegen den Proxy zu authentifizieren und aufgrund eines falschen Passwords immer fehlgeschlagen wurde und das Benutzerkonto dann entsprechend gesperrt wurde.

Gruß
Mitglied: VGem-e
VGem-e 29.07.2020 um 11:59:01 Uhr
Goto Top
Servus,

bei uns leider immer wieder (unregelmäßig) die aktivierte FESTSTELLTaste..

Gruß
Mitglied: emeriks
emeriks 29.07.2020 um 12:02:27 Uhr
Goto Top
Zitat von @VGem-e:
bei uns leider immer wieder (unregelmäßig) die aktivierte FESTSTELLTaste..
Das halte ich persönlich auch für wahrscheinlich, aber die Kollegen beteuern, dass dem nicht so wäre.
Mitglied: emeriks
emeriks 29.07.2020 um 12:03:17 Uhr
Goto Top
Zitat von @canlot:
es könnte sein dass in einer Anwendung die Benutzerdaten gespeichert worden sind, wofür auch immer.
Daran dachte ich auch. Aber warum dann - angeblich - immer nur im Zusammenhang mit dem Entsperren des Desktops?
Mitglied: emeriks
emeriks 29.07.2020 um 12:03:52 Uhr
Goto Top
Zitat von @DerWoWusste:
In der Regel liegt es an zwischengespeicherten Credentials, die automatisch von Hintergrundprozessen verwendet werden. Schau mal in den Credential Manager.
Auch hier: Warum dann - angeblich - immer nur im Zusammenhang mit dem Entsperren des Desktops?
Mitglied: emeriks
emeriks 29.07.2020 aktualisiert um 12:07:51 Uhr
Goto Top
Zitat von @devanager:
"Wecken" diese User ihre Clients jeweils mit mehrmaligem Druck auf die Enter-Taste auf? Bzw.: ist der Sperrbildschirm aktiv?
Hm ... Interessanter Ansatz.
Allerdings müssten die dann schon mehrmals das Enter reinhämmern.

Enter - leeres Passwort - Fehlermeldung
Enter - Fehlermeldung wegklicken
Enter - leeres Passwort - Fehlermeldung
Enter - Fehlermeldung wegklicken
Enter - leeres Passwort - Fehlermeldung
Enter - Fehlermeldung wegklicken

Das wären für 3 Fehlversuche dann schon 6 Enter.

Edit:
Habe gerade geprüft: Geltende PSO besagt --> Sperre bei 3 Fehlversuchen
Mitglied: emeriks
emeriks 29.07.2020 um 12:18:33 Uhr
Goto Top
Zitat von @DerWoWusste:
In der Regel liegt es an zwischengespeicherten Credentials, die automatisch von Hintergrundprozessen verwendet werden. Schau mal in den Credential Manager.
Das wären dann doch aber Credential für Zugriff auf Ressourcen. Die Anmeldung würde dann an der Ressource erfolgen und die Sperrung dann ggf. von dort ausgehen (auf dem DC mit diesem protokolliert werden). Oder?
Mitglied: dertowa
dertowa 29.07.2020 aktualisiert um 13:18:15 Uhr
Goto Top
Zitat von @emeriks:
Edit:
Habe gerade geprüft: Geltende PSO besagt --> Sperre bei 3 Fehlversuchen

Erhöhe das auf 5, man kennt das doch

  • Tipp tipp tipp - ach mist vertippt
  • nochmal flott, anderer Buchstabe vergessen
  • Aber das muss doch das gewesen sein
  • ach blöd, war doch nicht das PW von daheim hier ist doch...
  • jetzt noch mal langsam wenn der PC zu blöd ist das anzunehmen

Zur Konzentrationssteigerung und zur Gewöhnung ist bei mir Standard, dass nach dem Start
nicht mal mehr der zuletzt angemeldete Benutzer vorgegeben wird, wie häufig haben schon
Kollegen dem Platzbesetzer von gestern das AD-Konto gesperrt. :D

Das gibt erst Gemecker und Gemotze bringt aber viele Vorteile, so kann man auch mal bspw. als Admin
was in Abwesenheit am PC der Kollegen tun, ohne dass man direkt der Spionage verdächtigt wird.
Mitglied: emeriks
emeriks 29.07.2020 aktualisiert um 13:33:14 Uhr
Goto Top
Zitat von @dertowa:
Erhöhe das auf 5, man kennt das doch
Das geht nicht so einfach. Das ist eine Vorgabe seitens des Kunden und diese paar betroffenen Benutzer sind nur "Einzelschicksale".

... dass nach dem Start nicht mal mehr der zuletzt angemeldete Benutzer vorgegeben wird
Das ist bei uns schon so.
Mitglied: DerWoWusste
DerWoWusste 29.07.2020 um 13:47:32 Uhr
Goto Top
Auch hier: Warum dann - angeblich - immer nur im Zusammenhang mit dem Entsperren des Desktops?
Weil ich es so erlebe.
Mitglied: emeriks
emeriks 29.07.2020 um 13:52:05 Uhr
Goto Top
Zitat von @DerWoWusste:
Weil ich es so erlebe.
Ich lasse das mal prüfen.
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks47 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server19 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
2U Home-Server Frage zur HardwaremossoxVor 22 StundenFrageServer-Hardware10 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Powershell Ordner löschen die älter als x Tage sindsascha46Vor 20 StundenFrageEntwicklung6 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

question
Firmengelände Glasfaser mehrere GebäudeTonLichtVideoVor 18 StundenFrageNetzwerke4 Kommentare

Hallo zusammen, Ist Zustand: Firmengelände mit mehreren großen Hallen die zentral per Glasfaser verbunden werden sollen. Längen zwischen 100 und 400 Metern. Aufgrund der Zukunftssicherheit ...