Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Falsche Logins zurueckverfolgen

Mitglied: 4311

4311 (Level 1)

18.06.2008, aktualisiert 04.10.2008, 12391 Aufrufe, 7 Kommentare

Seit kurzem wird regelmäßig mein Domänen-Admin-User vom System gesperrt. Wobei ich selbst nicht derjenige bin, der sich falsch einloggt, sondern entweder irgendein User, der Spaßhalber meine Zugangsdaten versucht oder es einfach nicht peilt, dass im Anmeldefenster nicht SEIN Name drin steht. Wobei nach einem Neustart der Benutzername immer leer ist.
Ich hab den Domain-Admin in keinen automatischen-Scrips verwendet, etc. hab schon neugestartet, hatte (als das Thema angefangen hat) mein kennwort seit 2,5 Monaten nicht mehr geändert, was ich aber nach 2maligen "user is locked out" doch vorgezogen habe.

Kennt irgendjemand eine Möglichkeit, Tool oder ein Script, mit dem man das Active-Directory so auslesen kann, dass es mir zu den fehlerhaften Logins eine entsprechende IP-Adresse (oder PC-Name, etc.) ausgibt, damit ich nach verfolgen kann, von welchem Client aus mein Konto immer gesperrt wird?

Ich kann zwar auch andauernd mit einem zweiten Domain-Admin-Account meinen Hauptaccount wieder freischalten, aber das ist ja auch keine Lösung.

Danke schon mal im Voraus
Mitglied: LordGurke
18.06.2008 um 22:18 Uhr
Windows-Server?
Wenn ja, dürftest du über die Verwaltung an die Ereignisanzeige kommen und dort im Sicherheitsprotokoll (dürfte in der englischen Version "Security" heißen) steht dann, wer sich wann von wo eingeloggt hat. Je nach Einstellung werden auch fehlgeschlagene Logins festgehalten, inklusive dem Namen der Workstation.
Bitte warten ..
Mitglied: 4311
18.06.2008 um 22:28 Uhr
Ja, sind Windows2003-Server... Hab schon die Sicherheitsprotokolle unserer beiden Domain-Controller kontrolliert, aber dort keine Fehlgeschlagenen Logins gefunden. Die ganzen anderen Server habe ich noch nicht gecheckt, aber das wäre auch ein bisschen zeitaufwendig.
Die Sercurity-logs zeigen doch meines Wissens nur die direkten Anmeldungen an dem jeweiligen Server an... Aber ich kann mich ja auch theoretisch an einem Client mit falschem Kennwort versuchen anzumelden und dadurch den Account sperren. Somit würde dieser abgewiesene Login nicht in diesen Logs auftauchen.

Gibt es auch ein Logfile, das alle Authorisierungsanfragen im AD mitloggt?
Bitte warten ..
Mitglied: 55283
21.06.2008 um 20:48 Uhr
Hallo,

Wenn du willst, dann mache ich dir mal einen Securitycheck (kostenlos natürlich).

Interesse? - http://www.das-computer-board.de Thread unter Security-Zone 2 erstellen ;)

Gruß Bernie
Bitte warten ..
Mitglied: 4311
21.06.2008 um 23:34 Uhr
Hey Bernie,

Danke für das Angebot, aber einmal ist die Sicherheit bei uns schon sehr gut ausgearbeitet und andererseits hat das mit dem genannten Problem nichts zu tun.

Gruß Timo
Bitte warten ..
Mitglied: euro80
03.07.2008 um 14:26 Uhr
Hallo alle zusammen,

wir haben bei uns gleiches Problem mit 2 Benutzern

wenn also noch jemand input dazu hat, wie man das in einer AD schnell findet ..
nur her damit
Bitte warten ..
Mitglied: 4311
24.09.2008 um 17:32 Uhr
Problem gelöst...
Es gibt ja von Microsoft dieses Windows Ressource Kit... Wenn man das installiert hat, findet man in der Regel unter "C:\Program Files\Windows Resource Kits\Tools\" die Datei "lockoutstatus.exe"
Wenn man diese öffnet, kann man nach den Usern suchen und sehen auf welchem DC (falls mehrere vorhanden sind) diese sich falsch eingeloggt haben.

Rechtsklick auf den DC und man kann das "Netlogon Log" öffnen.
Wenn dieses leer ist, muss man über "Set Netlogon Logging" die Haken auf "Misc Debug", "Logon Processing" und "Add timestamp to logfile" setzen und warten bis der User das nächste mal gelocked wird. Dann sieht man ja in der Übersicht wann und wo und kann dann das Logfile danach durchforsten und sieht den Client, von dem die falschen Logins ausgehen.

Gruß Timo
Bitte warten ..
Mitglied: euro80
04.10.2008 um 20:10 Uhr
Hi Timo,
Danke für´s Feedback.
Haben in der Zwischenzeit Net.IQ eingeführt, darüber gehts dann auch

ein schönes Wochenende
Stefan
Bitte warten ..
Ähnliche Inhalte
Windows Server
Falsche Login-Daten überwachen
gelöst Frage von hesperWindows Server2 Kommentare

Hallo zusammen! Ich hab hier ein kleines Problem. AD läuft auf Windows Server 2012 R2. User in der Außenstelle ...

Netzwerkprotokolle
Druckauftrag zurückverfolgen
Frage von AndreaTippNetzwerkprotokolle5 Kommentare

Hallo ! Kann mein Arbeitgeber ( mit IT Fachleuten) ein vor vier Wochen gedrucktes Word Dokument, welches ich nicht ...

Debian

System soll sich nach 3 falschen Logins selbst zerstören

gelöst Frage von flexmindDebian8 Kommentare

Guten Tag liebe Community, wir haben folgendes Szenario: Das System bootet von einem USB Stick. Beim Login erscheint nicht ...

Datenschutz

Handysuche zurückverfolgen Datenschutz allgemein

Frage von 129463Datenschutz6 Kommentare

Hi, ich habe vor ca. vier Jahren eine Suche per iPhone auf Google gemacht - diese Eingabe war leider ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 4 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 5 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 5 StundenHardware8 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 5 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL14 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...