Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(

Frage Microsoft Windows Userverwaltung

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

21.08.2014 um 09:56 Uhr, 1982 Aufrufe, 10 Kommentare

Hey,
ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch wieder sperrt. Gehe ich hin & ändere die User-Eigenschaften von "Benutzeranmeldenamen" + "Benutzeranmeldename (Prä-Windows 2000)" von "Nachname" in "NachnameX" wird das Konto nicht mehr gesperrt.
Ich würde ja irgendwo einen Dienst vermuten, der dieses Konto "Nachname" sperrt, kann aber leider nichts finden. Gibt es sonst noch eine Möglichkeit, das Problem ausfindig zu machen?
Ich würde mich über ein Feedback sehr freuen.

Danke & Beste Grüße,
VoDa
Mitglied: Chonta
21.08.2014 um 10:01 Uhr
Hallo,

schalte das loggen der erfolgreichen und erfolglosen Anmeldeversuche ein und durchforste die Logs nach fehlgeschlagenen Anmeldungen.
Mitunter wird da die IP angegeben.
Wenn es geplante Tasks gibt die mit den Anmeldedaten erfolgen oder ein Mailprogramm das versucht sich einzuloggen, aber die falschen Daten hat oder ein Brutforce läuft kann das schon passieren.

Gruß

Chonta
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 09:27 Uhr
Hi Chonto,

habe ich gemacht, Dank Dir. Bin auch schon einen Schritt weiter, aber leider noch nicht am Ziel. Das Log hat mir folgendes ausgeworfen:

Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

DETAIL -
2 user registry handles leaked from \Registry\User\"UserID":
Process 324 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\"UserID"\Printers\DevModePerUser
Process 2264 (\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe) has opened key \REGISTRY\UserID\Software\Symantec\Symantec Endpoint Protection\AV\Custom Tasks

Es muss ja auch einem der Server zu dem Vorgang kommen, da sich der User direkt & an verschiedensten Plätzen sperrt. Kann ich die Prozesse irgendwo "killen"?



Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 09:56 Uhr
Hallo,

was hat das was du jetzt gepostet hast mit der Kontosperrung zu tun?
Eine Kontosperrung für einen Benutzer kann nur auftreten, wenn irgend ein Dienst/Anwendung/Jemand versucht mit dem Benutzernamen und einem nicht dazu passenden Passwort versicht eine Anmeldung durchzuführen.
Der Login und Sicherheitsverstoß wird nur auf einem der vorhandenen Domaincontroller gelogt.
In diesem Log steht normalerweise auch die IP oder der Name des Servers von dem aus der fehlgeschlagene Login erfolgte.
Bei fehlgeschlagenen Login die von außerhalb z.B. über SMTP oder HTTP erfolgen kann es sein das keine Rechnerangabe auftaucht.

Der Benutzer sperrt sich nicht an verschiedenen Plätzen, ein falscher Login kann aber von überall kommen.
Von wo muss aber im Logfile der fehlgeschlagenen Anmeldung drin stehen.
Wenn der Servername/IP nicht drin steht, dann ist es evtl eine Anmeldung über einen Internetdienst.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
22.08.2014, aktualisiert um 13:16 Uhr
Hi,
@VoDa81
Wie Chonta schreibt: Klappere alle Server und Workstations ab, und suche dort nach Diensten und Sheduled Task, welche möglicherweises dieses Konto benutzen und noch das alte Passwort drin stehen haben. Ebenso irgendwelche Dienste/Programme/Scripte, die in ihren Konfigurationen dieses Konto hinterlegt haben könnten.

Es ist auch ein sehr alter, ungeschickter Fehler, ein interaktiv genutztes Konto für Dienste und/oder Scheduled Task zu verwenden!
Wenn Du den Dienst/Task gefunden hast, dann erstellst Du ein dediziertes Konto dafür, gibts diesem die erforderlichen Berechtigungen, und benutzt dieses für den Dienst/Task. Für dieses Konto auch einstellen, dass das Passwort niemals abläuft. Nimm ein langes, kryptisches Passwort, wenn Du diesem Konto weitreichende Rechte erteilen musst.
ggf. auch mehrer Konten erstellen, wenn es mehrere Dienste betrifft.

E.
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 13:50 Uhr
Dank Euch für die Info! Ich denke ja auch, dass es irgendein Dienst mit dem entsprechenden User Konto ist. Nur hatte ich gehofft, den Dienst auf einen Server eingrenzen zu können (ohne jeden Server abzuklappern)... Dann werde ich mich jetzt mal auf die Suche machen

Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 14:20 Uhr
Hallo,

es muss im übrigen kein Dienst sein.
Es kkönnen auch in Outlook oder bei einem Smartphone hinterlegte Anmeldeinformationen für den Mailserver sein.
Habe schon öffer Benutzer gehabt, die sich so gesperrt hatten, weil PC Passwort geändert aber ans Handy nicht gedacht.
Es kann auch eine gepeicherte netzwerkfreigabe sein, die mit Zugangsdaten angelegt wurde und nicht mir Domänenzugang.

Gruß

Chonta
Bitte warten ..
Mitglied: Dobby
22.08.2014 um 14:47 Uhr
Hallo zusammen,

Ist eventuell nur das Passwort abgelaufen?
Oder ist dort eingetragen worden Passwort nach xyz Tagen immer ändern in eine neues?
Greift man eventuell von außerhalb auf den Server zu und das ist so nicht hinterlegt worden?
Ist das Konto an eine IP Adresse, MAC Adresse oder einen bestimmten Bereich gebunden
und nun wird von wo ganz anderes zugegriffen?

Gruß
Dobby
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 14:56 Uhr
Nee, sein Kennwort "läuft nie ab" & meldet sich intern an seinem Rechner an. Wird wohl echt schwierig, das Problem zu finden...
Bitte warten ..
Mitglied: Dobby
22.08.2014 um 15:06 Uhr
Wird wohl echt schwierig, das Problem zu finden...
Das sollte aber eigentlich in einer Protokolldatei (Logfile)
stehen und auch warum der Account gesperrt wird.

Gruß
Dobby
Bitte warten ..
Mitglied: falkoz
23.08.2014 um 16:34 Uhr
Wenn es quasi "sofort" wieder gesperrt wird, würde ich nicht unbedingt bei Diensten, Postfächern oder Handys suchen, die sind in der Regel schlau genug nur einen Versuch zu machen und dann abzubrechen. Aber wie sieht's den mit Netzwerk-Geräten aus, die sich im Normalfall ehr dämlich verhalten? Ich denk da vielleicht an ein NAS, einen Netzwerk-Scanner oder vielleicht eine Netzwerk-Webcam, die versuchen Mails zu verschicken oder Daten auf ein Share zu legen?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Erkennung und -Abwehr
gelöst Lokale Sicherheitsrichtlinie mit Admin-Konto konfigurieren (6)

Frage von garack zum Thema Erkennung und -Abwehr ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Windows 10
Problem: einzige Konto gesperrt + Bitlocker aktiv (14)

Frage von Windows11 zum Thema Windows 10 ...

Windows Server
gelöst (Active Directory) Konto vom Benutzer wird sofort wieder gesperrt (9)

Frage von Sachellen zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...