Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

21.08.2014 um 09:56 Uhr, 2359 Aufrufe, 10 Kommentare

Hey,
ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch wieder sperrt. Gehe ich hin & ändere die User-Eigenschaften von "Benutzeranmeldenamen" + "Benutzeranmeldename (Prä-Windows 2000)" von "Nachname" in "NachnameX" wird das Konto nicht mehr gesperrt.
Ich würde ja irgendwo einen Dienst vermuten, der dieses Konto "Nachname" sperrt, kann aber leider nichts finden. Gibt es sonst noch eine Möglichkeit, das Problem ausfindig zu machen?
Ich würde mich über ein Feedback sehr freuen.

Danke & Beste Grüße,
VoDa
Mitglied: Chonta
21.08.2014 um 10:01 Uhr
Hallo,

schalte das loggen der erfolgreichen und erfolglosen Anmeldeversuche ein und durchforste die Logs nach fehlgeschlagenen Anmeldungen.
Mitunter wird da die IP angegeben.
Wenn es geplante Tasks gibt die mit den Anmeldedaten erfolgen oder ein Mailprogramm das versucht sich einzuloggen, aber die falschen Daten hat oder ein Brutforce läuft kann das schon passieren.

Gruß

Chonta
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 09:27 Uhr
Hi Chonto,

habe ich gemacht, Dank Dir. Bin auch schon einen Schritt weiter, aber leider noch nicht am Ziel. Das Log hat mir folgendes ausgeworfen:

Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

DETAIL -
2 user registry handles leaked from \Registry\User\"UserID":
Process 324 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\"UserID"\Printers\DevModePerUser
Process 2264 (\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe) has opened key \REGISTRY\UserID\Software\Symantec\Symantec Endpoint Protection\AV\Custom Tasks

Es muss ja auch einem der Server zu dem Vorgang kommen, da sich der User direkt & an verschiedensten Plätzen sperrt. Kann ich die Prozesse irgendwo "killen"?



Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 09:56 Uhr
Hallo,

was hat das was du jetzt gepostet hast mit der Kontosperrung zu tun?
Eine Kontosperrung für einen Benutzer kann nur auftreten, wenn irgend ein Dienst/Anwendung/Jemand versucht mit dem Benutzernamen und einem nicht dazu passenden Passwort versicht eine Anmeldung durchzuführen.
Der Login und Sicherheitsverstoß wird nur auf einem der vorhandenen Domaincontroller gelogt.
In diesem Log steht normalerweise auch die IP oder der Name des Servers von dem aus der fehlgeschlagene Login erfolgte.
Bei fehlgeschlagenen Login die von außerhalb z.B. über SMTP oder HTTP erfolgen kann es sein das keine Rechnerangabe auftaucht.

Der Benutzer sperrt sich nicht an verschiedenen Plätzen, ein falscher Login kann aber von überall kommen.
Von wo muss aber im Logfile der fehlgeschlagenen Anmeldung drin stehen.
Wenn der Servername/IP nicht drin steht, dann ist es evtl eine Anmeldung über einen Internetdienst.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
22.08.2014, aktualisiert um 13:16 Uhr
Hi,
@VoDa81
Wie Chonta schreibt: Klappere alle Server und Workstations ab, und suche dort nach Diensten und Sheduled Task, welche möglicherweises dieses Konto benutzen und noch das alte Passwort drin stehen haben. Ebenso irgendwelche Dienste/Programme/Scripte, die in ihren Konfigurationen dieses Konto hinterlegt haben könnten.

Es ist auch ein sehr alter, ungeschickter Fehler, ein interaktiv genutztes Konto für Dienste und/oder Scheduled Task zu verwenden!
Wenn Du den Dienst/Task gefunden hast, dann erstellst Du ein dediziertes Konto dafür, gibts diesem die erforderlichen Berechtigungen, und benutzt dieses für den Dienst/Task. Für dieses Konto auch einstellen, dass das Passwort niemals abläuft. Nimm ein langes, kryptisches Passwort, wenn Du diesem Konto weitreichende Rechte erteilen musst.
ggf. auch mehrer Konten erstellen, wenn es mehrere Dienste betrifft.

E.
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 13:50 Uhr
Dank Euch für die Info! Ich denke ja auch, dass es irgendein Dienst mit dem entsprechenden User Konto ist. Nur hatte ich gehofft, den Dienst auf einen Server eingrenzen zu können (ohne jeden Server abzuklappern)... Dann werde ich mich jetzt mal auf die Suche machen

Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 14:20 Uhr
Hallo,

es muss im übrigen kein Dienst sein.
Es kkönnen auch in Outlook oder bei einem Smartphone hinterlegte Anmeldeinformationen für den Mailserver sein.
Habe schon öffer Benutzer gehabt, die sich so gesperrt hatten, weil PC Passwort geändert aber ans Handy nicht gedacht.
Es kann auch eine gepeicherte netzwerkfreigabe sein, die mit Zugangsdaten angelegt wurde und nicht mir Domänenzugang.

Gruß

Chonta
Bitte warten ..
Mitglied: 108012
22.08.2014 um 14:47 Uhr
Hallo zusammen,

Ist eventuell nur das Passwort abgelaufen?
Oder ist dort eingetragen worden Passwort nach xyz Tagen immer ändern in eine neues?
Greift man eventuell von außerhalb auf den Server zu und das ist so nicht hinterlegt worden?
Ist das Konto an eine IP Adresse, MAC Adresse oder einen bestimmten Bereich gebunden
und nun wird von wo ganz anderes zugegriffen?

Gruß
Dobby
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 14:56 Uhr
Nee, sein Kennwort "läuft nie ab" & meldet sich intern an seinem Rechner an. Wird wohl echt schwierig, das Problem zu finden...
Bitte warten ..
Mitglied: 108012
22.08.2014 um 15:06 Uhr
Wird wohl echt schwierig, das Problem zu finden...
Das sollte aber eigentlich in einer Protokolldatei (Logfile)
stehen und auch warum der Account gesperrt wird.

Gruß
Dobby
Bitte warten ..
Mitglied: falkoz
23.08.2014 um 16:34 Uhr
Wenn es quasi "sofort" wieder gesperrt wird, würde ich nicht unbedingt bei Diensten, Postfächern oder Handys suchen, die sind in der Regel schlau genug nur einen Versuch zu machen und dann abzubrechen. Aber wie sieht's den mit Netzwerk-Geräten aus, die sich im Normalfall ehr dämlich verhalten? Ich denk da vielleicht an ein NAS, einen Netzwerk-Scanner oder vielleicht eine Netzwerk-Webcam, die versuchen Mails zu verschicken oder Daten auf ein Share zu legen?
Bitte warten ..
Ähnliche Inhalte
Windows Server

SA Kontosperrung aufheben (ohne andere Admin-Konten)

gelöst Frage von HanutaWindows Server1 Kommentar

Hallo Zusammen, ich habe folgendes Problemwir haben einen SQL 2008 R2 SQL Server. Auf diesem Server ist nur ein ...

Windows Netzwerk

Wo wird ein User-Konto gesperrt?

Frage von jan99Windows Netzwerk2 Kommentare

Moin ! ich bin nicht die IT bei uns - möchte aber dennoch helfen die Ursache zu finden. Ausgangssituation ...

Windows Userverwaltung

Von wo aus wurde mein Konto gesperrt

Frage von Thor01Windows Userverwaltung4 Kommentare

Hallo, habe folgendes Problem. Heute kam es schon zweimal vor, dass mein Microsoft Konto gesperrt wurde. Gibt es auf ...

Windows 8

Admin-Konto in Standard-Konto umwandeln

gelöst Frage von mw1972Windows 85 Kommentare

Wie kann man unter Win 8.1 4bit einen Administrator-Nutzer zum Standardnutzer (am besten ohne Microsoft-Verknüpfung) machen und einen neuen ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 19 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 22 StundenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...