admprog
Goto Top

Domainbenutzer wird häufig gesperrt

Hallo,
bei uns passiert es, dass ab und zu (ein mal in der Woche bis fast täglich) Domainbenutzer vom Windows Server gesperrt werden.
Ich habe versucht mit

Get-EventLog security -source microsoft-windows-security-auditing  |
    where {($_.instanceID -eq 4624) -and ($_.replacementstrings[5] -eq 'vorname.nachname')}  

zu sehen, was der Grund sein könnte. Auffällig ist, dass es vor der Sperrung viele (73) Versuche in der gleichen Minute gab, sich anzumelden (Benutzer kommt zum PC und ist gesperrt). Der Anmeldetyp ist 3 und die IP immer die gleiche bzw. kommt von dem PC des Benutzers. Was könnte der Grund sein?

Content-Key: 375533

Url: https://administrator.de/contentid/375533

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 30.05.2018 um 14:05:06 Uhr
Goto Top
Hi.

Prüfe die gespeicherten Credentials.
Mitglied: Pjordorf
Pjordorf 30.05.2018 aktualisiert um 14:07:44 Uhr
Goto Top
Hallo,

Zitat von @AdmProg:
vom Windows Server gesperrt werden.
Das OS der DCs ist?

dass es vor der Sperrung viele (73) Versuche in der gleichen Minute gab
Was sind 73? Anzahl der User, Glückszahlen, Event ID oder ist es deine Parkplatznummer? Da gibt es doch sicherlich Text zu, oder? Und mal geschaut was die Event ID hergibt?

Der Anmeldetyp ist 3 und die IP immer die gleiche bzw. kommt von dem PC des Benutzers. Was könnte der Grund sein?
Ein PRG auf dem PC welches sich versucht anzumelden aber es nicht kann?

Es ist nicht immer Klug sich kurzufassen face-smile

Gruß,
Peter
Mitglied: AdmProg
AdmProg 30.05.2018 um 14:13:22 Uhr
Goto Top
Das OS ist Windows Small Business Server 2011.

73 mal folgendes:
...
...82437 Mai 30 11:55  SuccessA... Microsoft-Windows...         4624 Ein Konto wurde erfolgreich angemeldet....
...82434 Mai 30 11:55  SuccessA... Microsoft-Windows...         4624 Ein Konto wurde erfolgreich angemeldet....
...82431 Mai 30 11:55  SuccessA... Microsoft-Windows...         4624 Ein Konto wurde erfolgreich angemeldet....
...

Was ist ein PRG? Programm?
Mitglied: AdmProg
AdmProg 30.05.2018 um 14:15:22 Uhr
Goto Top
Wo/Wie? Auf dem client PC kenne ich nur die Anmeldeinformationsverwaltung, die ist bestimmt nicht gemeint.
Mitglied: DerWoWusste
DerWoWusste 30.05.2018 um 14:20:22 Uhr
Goto Top
Doch, die Anmeldeinformationsverwaltung ist gemeint.
Und prüfe ebenso, ob nicht in irgendeiner Anwendung oder einem geplanten Task sein Nutzername mit einem abgelaufenen Kennwort eingespeichert ist.
Mitglied: it-frosch
it-frosch 30.05.2018 um 17:03:38 Uhr
Goto Top
Hi,

bei uns waren es mal die die gespeicherten WLAN Zugangsdaten, die sich nach dem Passwortwechsel nicht gemeldet hatten und
den Benutzer immer wenn in in die Nähe des Firmen WLANs kam, gesperrt hatten.
Ansonsten wären da noch mobile Endgeräte mit Exchange Active Sync und altem Kennwort. Das funktioniert auch super.

Denk mal in die Richtung.
Vielleicht hilft es ja.

grüße vom it-frosch
Mitglied: Deepsys
Deepsys 30.05.2018 um 19:54:54 Uhr
Goto Top
Hi,

wir hatten mal eine Tastatur die immer bei einer Alarmierungssoftware angesprungen ist.
Und das ging erst bei > 500 Tastendrücke die Sekunde.

Also, vielleicht läuft da auch eine Tastatur Amok.
Mitglied: AvantFighter
AvantFighter 31.05.2018 um 17:30:11 Uhr
Goto Top
Stimmt auch die Uhrzeit am CLient,

hatten so ein Problem auch, da hat der CLient einen Falschen Zeitserver gehabt und so jeden start eine Falsche Uhrzeit gehabt und dadurch wurde der Client/Benutzer immer gesperrt
Mitglied: mayho33
mayho33 31.05.2018 um 18:31:11 Uhr
Goto Top
Hi,

ich tippe schwer auf AutoLogon bei irgendwelchen firmeninternen Anwendung mit Login. Hatten wir auch mal und dauerte ewig bis die User entsprechend motiviert waren dies nicht mehr zu tun.

Passiert gerne wenn nicht mehr gültige Credentials hinterlegt sind.