sachellen
Goto Top

(Active Directory) Konto vom Benutzer wird sofort wieder gesperrt

Windows Server 2008 R2

Hallo liebe Kolleginnen und Kollegen,

ich eine ein großes Problem auf meinen Servern. Ein normaler Benutzer meldet sich egal wo mit deinem Domänen Account an und wird nach dem ersten Versuch sofort gesperrt :/
Ich habe den Nutzer immer wieder entsperrt und auch ein neues Passwort vergeben, alles ohne Erfolg.

Hattet ihr das schon mal? Das betrifft momentan nur dieses einen User.

Danke euch.

Liebe Grüße
Sachellen

Content-Key: 304048

Url: https://administrator.de/contentid/304048

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: ArnoNymous
Lösung ArnoNymous 09.05.2016 um 22:19:18 Uhr
Goto Top
Ist irgendwo noch sein altes Kennwort hinterlegt, was nun regelmäßig login-anfragen stellt? Smartphone o.ä.
Mitglied: Sachellen
Sachellen 09.05.2016 um 22:30:51 Uhr
Goto Top
Daran dachte ich auch eben. Wegen ActiveSync evt.?
Der hat nen iPhone, wo er einen Email Account hat. Aber so was hatte ich bis jetzt noch bei keiner Passwortänderung.
Das Problem existiert aber auch erst, seit dem er sein Passwort ändern musste(6 Monats Frist)... Hm..
Mitglied: Sachellen
Sachellen 09.05.2016 um 22:49:43 Uhr
Goto Top
Merkwürdig.. Ich habe in der Passwortrichtlinie folgendes eingestellt. s.A
Da war vorher 30 Minuten eingestellt. Normalerweise ist es ja so, dass wen der Admin das Konto entsperrt, die 30 Minutenregel verfällt und das Konto sofort wieder frei ist.

Das ganze ist extrem merkwürdig gewesen. Ich dachte schon an einen Wurm! ~_~

Ich lass es mal offen, falls jemand morgen mit diskutieren möchte.
ad
Mitglied: ribiku.sith
Lösung ribiku.sith 09.05.2016 um 22:52:35 Uhr
Goto Top
Hallo auch,

wir haben das andauernd, gerne haben die Leute dann Zuhause noch ein Tablet oder ein Outlook am Start.

Viele Grüße Ribiku
Mitglied: 129148
Lösung 129148 09.05.2016 aktualisiert um 22:59:55 Uhr
Goto Top
Oder irgendwo läuft noch ein geplanter Task mit den alten Credentials gegen die Wand.

Schau einfach in das Security-Eventlog auf dem DC in die fehlgeschlagenen Anmeldeversuche, darin findest du den Client von dem aus diese kommen.
Mitglied: Penny.Cilin
Lösung Penny.Cilin 10.05.2016 um 07:35:34 Uhr
Goto Top
Moin,

es muss nicht eine geplatne Task mit alten Credentials sein, sondern kann unter Umständen auf eine alte RDP-Session mit alten Credentials sein.
Haben wir hier auch des öfteren, daß Administratorenkollgen RDP Sessions starten und nicht wieder beenden.


Gruss Penny.
Mitglied: clSchak
Lösung clSchak 10.05.2016 um 08:41:35 Uhr
Goto Top
Hi

besorg dir einen Syslog Server (rsyslog, nagioslog o.ä.) der die Logs der DC's sammelt und darüber kannst dann nach dem Event suchen, der zeigt dir dann den betreffenden DC an der für die Sperre zuständig ist und woher dieser Loginversuch kam, dann bekommst im Regelfall auch den Client raus der dafür verantwortlich ist.

Du kannst auch mal eben alle DC's durchgehen und auf das entsprechende Event filtern/danach suchen, dann bekommst das auch raus, alles andere ist nur raten.

Gruß
@clSchak
Mitglied: Sachellen
Sachellen 10.05.2016 um 09:21:46 Uhr
Goto Top
Eure Antworten beruhigen sehr face-smile Dann war mein zweiter Gedanke hoffe richtig. Ich werde das Security-Eventlog mal prüfen und wenn es heute noch ersichtlich ist, hier das Ergebnis posten.

Danke Euch allen wie immer! face-smile
Mitglied: Sachellen
Sachellen 11.05.2016 um 12:11:45 Uhr
Goto Top
Das Problem war der zweite DC! -.- Auf dem Server mit dem zweiten DC habe ich alles beendet, mich neu angemeldet und tadaaa, kein Problem mehr. kA was der Fehler war! Hat auch nur wirklich dieses einen Nutzer betroffen...