Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W2k3-r2 System sperrt wahllos Benutzerkonten

Mitglied: joerg2010

joerg2010 (Level 1) - Jetzt verbinden

02.08.2010 um 12:11 Uhr, 3670 Aufrufe, 11 Kommentare

W2k3-r2 System sperrt wahllos Benutzerkonten, obwohl keine ungültigen Anmeldeversuche vorliegen

Hallo Forum,

kennt jemand folgendes Verhalten eines w2k3-Domaincontrollers (aktueller Patchstand):

das System setzt scheinbar wahllos Benutzerkonten auf "gesperrt".
Eigentlich passiert das lt. Richtlinie nach 3 ungültigen Anmeldeversuchen, davon ist aber nichts zu sehen. Teilweise kommt es sogar vor, dass ich die Sperre entferne und ein paar Minuten später ist sie wieder drin.

Der Virenscanner (McAffee, aktuell) findet nichts Verdächtiges und auch sonst laufen alle Dienste wohl normal (Sybase SQL, David, Acronis...).

Ich kann in den Ereignissen nichts finden; es ist keine neue Software dazugekommen; es gibt keine weiteren Admin-Konten ausser dem "Administrator".

Wäre schön, wenn da jemand Bescheid weiss

DANKE
Jörg
Mitglied: moebelwachs
02.08.2010 um 12:17 Uhr
Au ja, das würde mich auch interessieren, von Zeit zu Zeit stolpere ich auch über selbiges Phänomen !
Seit gnadenloser Ausmerzung fast aller roten Kreuze aus dem Eventlog ists zwar nicht mehr aufgetreten, aber wer weiß ;)
Gruß wolfgang
Bitte warten ..
Mitglied: Karo
02.08.2010 um 12:22 Uhr
Bist Du Dir sicher, dass die gesperrten Konten nicht auf irgendeiner Maschine als Service-Account für Dienste oder geplante Dienste eingetragen sind und diese nach Ablauf Kennwortalter mit dem alten Kennwort sperren?
Wann das Kennwort das letzte mal geändert wurde, kannst Du jedenfalls bei den entsprechenden Accounts nachprüfen.
Bitte warten ..
Mitglied: joerg2010
02.08.2010 um 12:27 Uhr
hallo Karo,
ja, da bin ich sicher. Es geht um Konten, die NUR von Benutzern verwendet werden, teilweise mit der Option "Kennwort läuft nie ab".
Gruss Jörg
Bitte warten ..
Mitglied: Karo
02.08.2010 um 12:29 Uhr
Das hat NICHTS zu bedeuten. Aus eigener leidvoller Erfahrung schreibe ich das. Was hindert einen User seinen eigenen Account für einen Service herzunehmen? Was hindert es jemanden einen 'never Expires' Account ein neues Password zu verprängeln.
Ich habe schon mehrmals das Vergnügen gehabt Auswertungen der Services und Task auf Clients zu machen um solche Probs in den Griff zu bekommen. Bisher immer Bingo....
Bitte warten ..
Mitglied: joerg2010
02.08.2010 um 12:50 Uhr
hallo Karo,
ok... das sind deine Erfahrungen - ich habe durchaus Ähnliche; prinzipiell ist dem Windows-user alles zuzutrauen ).
Da es alle user in unregelmässigen Abständen trifft und die Konten keine lokalen admin-Rechte haben, sind neue Services erstmal auszuschliessen.

Ich suche also eine Antwort für den Fall, dass die Sperrung NICHT durch "Missbrauch" der user ausgelöst wird.

Kennt sonst noch jemand das Verhalten?

DANKE + Gruss
Jörg
Bitte warten ..
Mitglied: Rilnaista
02.08.2010 um 13:21 Uhr
Ich hatte das Problem auch eine lange Zeit lang. Aufgetreten ist dies dadurch, dass Nutzer ihre privaten Notebooks bei uns auch verwenden durften und sich damit für die Dateifreigabe gegenüber dem AD Auth. haben. Teilweise haben sie sich dann fester Layufwerke eingerichtet und die Zugangsdaten gespeichert. Nun ist bei uns so das die Nutzer alle 28 Tage ihr Kennwort ändern mussten. Die Privatrechner haben das dann nicht mitbekommen und die drei falschen Kennwort versuche ausgelöst beim Versuch des Verbindungsaufbau zu Druckern / Netzfreigaben.

Vielleicht ist das ja ein Anhaltspunkt. Ansonsten ist mir das Verhalten noch nicht untergekommen. Ausschließlich durch fehlerhafte Userinteraktionen.
Bitte warten ..
Mitglied: DerWoWusste
03.08.2010 um 00:38 Uhr
Hi.
Schalt doch zunächst mal die Überwachung der Anmeldeversuche am DC an, somit siehst Du, wer wo wann Logins vermasselt.
Bitte warten ..
Mitglied: joerg2010
03.08.2010 um 07:52 Uhr
Hi DerWoWusste,

die Funktion kenne ich nicht - wie geht das?

DANKE
Gruss
Bitte warten ..
Mitglied: DerWoWusste
03.08.2010 um 08:29 Uhr
Du kannst eine Policy für DCs erstellen und dort unter Computerkonfig. - Windowseinstellungen - Sicherheitseinst. - lok. Einst. - Überwachungsrichtlinie die Anmeldungen überwachen lassen.
Bitte warten ..
Mitglied: DocuSnap-Dude
03.08.2010 um 20:07 Uhr
Hi,

kann es sein das Du evtl. einen Webfilterserver (z.B. Websense) benutzt, der auf dem Domaincontroller die Authorisierung des Users prüft?

Wenn ja kann das eine Ursache sein weil dieser die Authorisierung in Intervallen abfragt. Das kannst du dann nur fixen durch andere Intervalle.
Bitte warten ..
Mitglied: 60730
03.08.2010 um 23:11 Uhr
Moin,
Zitat von DocuSnap-Dude:
Hi,

kann es sein das Du evtl. einen Webfilterserver (z.B. Websense) benutzt, der auf dem Domaincontroller die Authorisierung des Users prüft?

Auch wenn da ein Dienst wie z.B Websense eingerichtet wäre - denn der genannte (und viele andere unmögliche Möglichkeiten) beherrscht LDAP.
Eine LDAP Abfrage ist sinnigerweise niemals mit dem Passwort eines Users verbunden, sondern prüft nur - ob und in welcher Gruppe derjenige ist und ob für diese Gruppe sperren eingerichtet sind.

Nimm einfach ein führendes
01.
 net use * /delete /yes
in dein Loginscript - denn Rilnaista hat den plausibelsten Weg ja bereits genannt.

Gruß
Bitte warten ..
Ähnliche Inhalte
Video & Streaming

VLC öffnet Videos auf einem Multimonitor System wahllos - Abhilfe?

Frage von yakiniVideo & Streaming4 Kommentare

Wir haben hier einen Arbeitsplatz bei dem an einem Rechner vier gleiche Monitore angeschlossen sind. System ist Win7 prof ...

Multimedia

VLC öffnet Videos bei Multiomnitor-System wahllos auf irgendeinem Bildschrim - Abhilfe?

Frage von yakiniMultimedia1 Kommentar

Ich habe hier ein Sytem (win7 ultimate) mit vier Monitoren. 3 x Dell Ultrasharp U2412M (davon einer vertikal) und ...

Drucker und Scanner

Drucker werden wahllos gelinkt.

gelöst Frage von eTouchDrucker und Scanner1 Kommentar

Mahlzeit und Hallo Administratoren! :) Ich hätte mal wieder ein Frage bezüglich Netzwerkdrucker: Wir haben aktuell mehrere hunderte Netzwerkdrucker ...

Windows Server

Migration Domäne von W2k3 auf W2k12 R2

gelöst Frage von KuenscherWindows Server12 Kommentare

Hallo Leute, ich migriere gerade unseren Domänencontroller unter Windows 2003 R2 auf einen Windows Server 2012 R2. Habe den ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 2 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 14 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 17 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 17 StundenMicrosoft10 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server17 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...