Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD Account sperrt sich ständig

Frage Microsoft Windows Server

Mitglied: laugen.weckle

laugen.weckle (Level 1) - Jetzt verbinden

26.01.2012 um 13:54 Uhr, 21090 Aufrufe, 12 Kommentare

Hallo Leute,

brauche dringend eure Hilfe. Seit 2 Monaten wird ständig mein Konto gesperrt. Sperrung tritt immer häufiger auf, den Grund dafür habe ich auch herausgefunden.
Seit 2 Monaten recherchiere ich im Internet in alle Richtungen aber zu meinem Problem habe ich leider keine Lösung.

Der Grund warum ich immer wieder gesperrt werde ist
Vor ca. 2 Monaten habe ich ein neues OS, W7 Installiert und davon ein Image erzeugt. Dieses Image ist in meiner Firma jetzt auf ca. 30-40 Rechnern installiert. Ich habe herausgefunden immer wenn einer dieser Rechner im Netzwerk eine Exe startet versucht dieser Rechner mit meinen Zugangsdaten sich am Filer anzumelden. Das führt zur Kontosperrung meines AD Accounts.

Die User mit den Installierten images spüren keine Beeinträchtigung beim Start der Anwendungen. Ich habe die Rechner schon sehr genaui untersucht und finde nirgends einen ANhaltspunkt auf meinen AD Account. Womöglich habe ich damals b eim erstellen des Images Anwendungen unter meinem AD Account installiert, angemeldet ursprünglich als lokaler Benutzer mit Netzlaufwerken "verbunden als" (jedoch kann ich nichts finden das noch irgendwo was gemappt wäre)

Habe schon neue Profile, rundll32.exe keymgr.dll,KRShowKeyMgr, Default Profile gelöscht und mit neuem Benutzer am betroffenen PC neu angemeldet, Domäne rausgenommen etc. etc .etc....nichts führte zum Erfolg.

Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE, man sieht Event 4648 mit meinem AD Account als Login. Komme hier nicht mehr weiter, wahrscheinlich kann nur noch die Löschung meines Kontos zum Erfolg führen.

Oder habt ihr noch Hinweise ??


Danke!!
Mitglied: nikoatit
26.01.2012 um 14:01 Uhr
Moin,

du hast aber nicht einfach ein Image via z.B. Acronis erstellt und damit alle Rechner bespielt oder?
Wenn doch, dann hast du ein ziemlich fettes SID-Problem...
Deshalb gibt es auch WDS und ähnliche Tools damit sowas vermieden wird und nicht jeder einfach kurz ein Image zieht und überall verteilt...
Außerdem wenn das zutrifft, wie hast du das mit den Lizenzen gemacht?
Jedes mal händisch noch mal nach dem bepuscheln des Systems geändert und aktiviert?

Gruß
Bitte warten ..
Mitglied: laugen.weckle
26.01.2012 um 14:05 Uhr
nein
das wäre auch überhaupt nicht möglich da mit gleicher SID nummer eine neu anmeldung in die Domäne nicht möglich ist
habe mit dem Windows 7 eigenem sysprep das Image erzeugt
bezüglich Lizenzen, wir haben einen Lizenzserver in der Firma
Bitte warten ..
Mitglied: DerWoWusste
26.01.2012 um 14:16 Uhr
@23141
Das SID-Problem ist ein Mythos, siehe Artikel von Russinovich (Autor von NewSID): http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.a ...
Bitte warten ..
Mitglied: DerWoWusste
26.01.2012 um 14:20 Uhr
Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE...
GANZ sicher? Kann ich mir nicht vorstellen. Ich würde darauf tippen, dass das Kennwort unter Netzwerkkenwörter verwalten eingespeichert wurde. Prüfe bitte alle Netzwerkkenwörter, die gespeichert wurden unter "Netzwerkkenwörter verwalten".
Bitte warten ..
Mitglied: laugen.weckle
26.01.2012 um 14:39 Uhr
Danke für deine Antwort

habe bereits alle Verzeichnisse alle Registryeinträge usw. untersucht nach meinem Beutzernamen, nichts zu finden, es muss aber mein Benutzernamen irgendwo drin stehen..... da ja im log sofort mein Benutzername auftaucht sobald man von so einem geimaged Rechner eine Exe aus dem Netzwerk startet
in welchem Verzeichniss oder Ort meinst du sollte ich suchen?

meinst du das
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
das steht der Benutzer nicht



Zitat von DerWoWusste:
> Ruft man selbst ausserhalb der domäne in neuen Profilen per UNC Pfad das Netz auf und startet eine EXE...
GANZ sicher? Kann ich mir nicht vorstellen. Ich würde darauf tippen, dass das Kennwort unter Netzwerkkenwörter verwalten
eingespeichert wurde. Prüfe bitte alle Netzwerkkenwörter, die gespeichert wurden unter "Netzwerkkenwörter
verwalten".
Bitte warten ..
Mitglied: DerWoWusste
26.01.2012 um 15:01 Uhr
meinst du das
Systemsteuerung\Benutzerkonten\Anmeldeinformationsverwaltung
Das meine ich. Das ist also leer? Hier würden keine Benutzernamen, sondern Rechnernamen stehen (Dein Fileserver).
Bitte warten ..
Mitglied: laugen.weckle
26.01.2012 um 15:03 Uhr
korrekt, definitiv leer! Keine server, usernames etc...leer halt ;)
Bitte warten ..
Mitglied: laugen.weckle
26.01.2012 um 15:06 Uhr
Ebenso die Ausgabe von rundll32.exe keymgr.dll,KRShowKeyMgr

Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer

Der Account meldet sich laut Event ID 4648 mit einem NULL Kennwort an - was erklärt warum ich bei der Aufzeichnung im Netzwerktraffic erst keine Kennwort Hashes gefunden habe....es gab keine

Ich habe das System wirklich forensisch zerpflügt, kann aber nichts finden - bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten ;)
Soll jetzt aber kein Angriff auf jemanden sein, bin für ALLE Antworten dankbar!

Gruß
Bitte warten ..
Mitglied: Pjordorf
26.01.2012 um 16:56 Uhr
Hallo,

Zitat von laugen.weckle:
Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Es muss ja nicht zwingend in der Registrierung stehen.

bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten
Na, ob dir das hilft? ProcessMonitor ist dann dein nächster Schritt. (Ist ein höherer Level)

Gruß,
Peter
Bitte warten ..
Mitglied: laugen.weckle
26.01.2012 um 17:30 Uhr
Danke für die Antwort

stimmt, da bin ich gerade dran
zumindest bringt die svchost.exe den Fehler erstmal ins rollen ....




Zitat von Pjordorf:
Hallo,

> Zitat von laugen.weckle:
> Komplett leer, Profilunabhängig, direktsuche durch die Registry ebenfalls leer
Es muss ja nicht zwingend in der Registrierung stehen.

> bitte die Diskussion auf einem höheren Level führen als Systemsteuerung/Benutzerkonten
Na, ob dir das hilft? ProcessMonitor ist dann dein nächster Schritt. (Ist ein höherer Level)

Gruß,
Peter
Bitte warten ..
Mitglied: laugen.weckle
27.01.2012 um 10:37 Uhr
Hallo,

weiß jemand ob der Process Explorer eine Aufzeichnungsfunktion besitzt, d.h. einen vorher Nachher vergleich aufzeigen über einen kleinen Zeitraum ?

Sehe vom öffnen einer Exe auf einem Netzlaufwerk an kaum Veränderungen, auch bei höherer Aktualisierungsrate. Laut Event ID 4648 kommt die Anfrage von der lsass aus. Was ja ok ist, da die Anmeldeinformationen wohl darüber verwaltet werden. Nur leider seh ich im Event log nicht den Prozess davor (sehe nur Process ID 520 von der lsass und die Thread ID im Prozess. Das bringt mich aber leider auch nicht weiter...)

Jemand noch ne Idee bzw. Tipps zum Process Explorer ?

Gruß
Bitte warten ..
Mitglied: cyber40014
08.07.2013 um 10:00 Uhr
Rein aus Interesse, habt ihr auch einen Citrix Server?
Wir hatten dasselbe Problem mit unserem CAD admin.
(Ok er hatte den Usern ein Laufwerk mit seinen Login Credentials gemappt. ZUSÄTZLICH)

Aber, nachdem wir überall die Laufwerk Mappings aufgehoben haben, wurde er weiterhin gesperrt. (Eine Citrix Session in einer Testumgebung war hier das Problem)

Wenn deine Annahme stimmt müsste das AD ja Anmeldeversuche von div. Rechnern mit deinen Creds aufzeichnen und im Eventlog anzeigen.
Bitte das mal überprüfen, ob es wirklich von allen dieser 40 Rechner kommt.

Nächste Idee: In einem russischen Branch Office hatten wir eine Infektion, die Brute Force Attacken gefahren hat.
Username wurde ausgelesen und dann versucht das Passwort zu knacken.

Also ich würde wenn ich so lange auf der Suche nach der Lösung eines Problems bin nochmal zurück gehen und überprüfen ob die Ansätze zum Problem korrekt sind.

-> Eventlog DC Anmeldeversuche von 40 IPs der neuen Rechner mit deinen Creds -> Du liegst richtig.

Dann würde ich nach Scheduled Tasks schauen/Services schauen.
Wichtig: Du bekommst durch die Logs die Zeiten raus zu denen das passiert, das kann Rückschluss auf die Quelle auf den Rechnern geben.

(In 2 Monaten kannst du aber mehr als 40 Rechner manuell(!) neu installieren :D )

lg
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst AD Account wird ständig gesperrt Event 4625 BruteForce (5)

Frage von westberliner zum Thema Windows Server ...

Microsoft
Microsoft Outlook 2010 und AD-Account Sperrung (3)

Frage von Amistar zum Thema Microsoft ...

Windows Server
gelöst Herausfinden wo AD Account verwendet wird (4)

Frage von detox91 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...