Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(

Frage Microsoft Windows Userverwaltung

Mitglied: VoDa81

VoDa81 (Level 1) - Jetzt verbinden

21.08.2014 um 09:56 Uhr, 2257 Aufrufe, 10 Kommentare

Hey,
ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch wieder sperrt. Gehe ich hin & ändere die User-Eigenschaften von "Benutzeranmeldenamen" + "Benutzeranmeldename (Prä-Windows 2000)" von "Nachname" in "NachnameX" wird das Konto nicht mehr gesperrt.
Ich würde ja irgendwo einen Dienst vermuten, der dieses Konto "Nachname" sperrt, kann aber leider nichts finden. Gibt es sonst noch eine Möglichkeit, das Problem ausfindig zu machen?
Ich würde mich über ein Feedback sehr freuen.

Danke & Beste Grüße,
VoDa
Mitglied: Chonta
21.08.2014 um 10:01 Uhr
Hallo,

schalte das loggen der erfolgreichen und erfolglosen Anmeldeversuche ein und durchforste die Logs nach fehlgeschlagenen Anmeldungen.
Mitunter wird da die IP angegeben.
Wenn es geplante Tasks gibt die mit den Anmeldedaten erfolgen oder ein Mailprogramm das versucht sich einzuloggen, aber die falschen Daten hat oder ein Brutforce läuft kann das schon passieren.

Gruß

Chonta
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 09:27 Uhr
Hi Chonto,

habe ich gemacht, Dank Dir. Bin auch schon einen Schritt weiter, aber leider noch nicht am Ziel. Das Log hat mir folgendes ausgeworfen:

Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.

DETAIL -
2 user registry handles leaked from \Registry\User\"UserID":
Process 324 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\"UserID"\Printers\DevModePerUser
Process 2264 (\Device\HarddiskVolume2\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe) has opened key \REGISTRY\UserID\Software\Symantec\Symantec Endpoint Protection\AV\Custom Tasks

Es muss ja auch einem der Server zu dem Vorgang kommen, da sich der User direkt & an verschiedensten Plätzen sperrt. Kann ich die Prozesse irgendwo "killen"?



Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 09:56 Uhr
Hallo,

was hat das was du jetzt gepostet hast mit der Kontosperrung zu tun?
Eine Kontosperrung für einen Benutzer kann nur auftreten, wenn irgend ein Dienst/Anwendung/Jemand versucht mit dem Benutzernamen und einem nicht dazu passenden Passwort versicht eine Anmeldung durchzuführen.
Der Login und Sicherheitsverstoß wird nur auf einem der vorhandenen Domaincontroller gelogt.
In diesem Log steht normalerweise auch die IP oder der Name des Servers von dem aus der fehlgeschlagene Login erfolgte.
Bei fehlgeschlagenen Login die von außerhalb z.B. über SMTP oder HTTP erfolgen kann es sein das keine Rechnerangabe auftaucht.

Der Benutzer sperrt sich nicht an verschiedenen Plätzen, ein falscher Login kann aber von überall kommen.
Von wo muss aber im Logfile der fehlgeschlagenen Anmeldung drin stehen.
Wenn der Servername/IP nicht drin steht, dann ist es evtl eine Anmeldung über einen Internetdienst.

Gruß

Chonta
Bitte warten ..
Mitglied: emeriks
22.08.2014, aktualisiert um 13:16 Uhr
Hi,
@VoDa81
Wie Chonta schreibt: Klappere alle Server und Workstations ab, und suche dort nach Diensten und Sheduled Task, welche möglicherweises dieses Konto benutzen und noch das alte Passwort drin stehen haben. Ebenso irgendwelche Dienste/Programme/Scripte, die in ihren Konfigurationen dieses Konto hinterlegt haben könnten.

Es ist auch ein sehr alter, ungeschickter Fehler, ein interaktiv genutztes Konto für Dienste und/oder Scheduled Task zu verwenden!
Wenn Du den Dienst/Task gefunden hast, dann erstellst Du ein dediziertes Konto dafür, gibts diesem die erforderlichen Berechtigungen, und benutzt dieses für den Dienst/Task. Für dieses Konto auch einstellen, dass das Passwort niemals abläuft. Nimm ein langes, kryptisches Passwort, wenn Du diesem Konto weitreichende Rechte erteilen musst.
ggf. auch mehrer Konten erstellen, wenn es mehrere Dienste betrifft.

E.
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 13:50 Uhr
Dank Euch für die Info! Ich denke ja auch, dass es irgendein Dienst mit dem entsprechenden User Konto ist. Nur hatte ich gehofft, den Dienst auf einen Server eingrenzen zu können (ohne jeden Server abzuklappern)... Dann werde ich mich jetzt mal auf die Suche machen

Beste Grüße,
VoDa
Bitte warten ..
Mitglied: Chonta
22.08.2014 um 14:20 Uhr
Hallo,

es muss im übrigen kein Dienst sein.
Es kkönnen auch in Outlook oder bei einem Smartphone hinterlegte Anmeldeinformationen für den Mailserver sein.
Habe schon öffer Benutzer gehabt, die sich so gesperrt hatten, weil PC Passwort geändert aber ans Handy nicht gedacht.
Es kann auch eine gepeicherte netzwerkfreigabe sein, die mit Zugangsdaten angelegt wurde und nicht mir Domänenzugang.

Gruß

Chonta
Bitte warten ..
Mitglied: Dobby
22.08.2014 um 14:47 Uhr
Hallo zusammen,

Ist eventuell nur das Passwort abgelaufen?
Oder ist dort eingetragen worden Passwort nach xyz Tagen immer ändern in eine neues?
Greift man eventuell von außerhalb auf den Server zu und das ist so nicht hinterlegt worden?
Ist das Konto an eine IP Adresse, MAC Adresse oder einen bestimmten Bereich gebunden
und nun wird von wo ganz anderes zugegriffen?

Gruß
Dobby
Bitte warten ..
Mitglied: VoDa81
22.08.2014 um 14:56 Uhr
Nee, sein Kennwort "läuft nie ab" & meldet sich intern an seinem Rechner an. Wird wohl echt schwierig, das Problem zu finden...
Bitte warten ..
Mitglied: Dobby
22.08.2014 um 15:06 Uhr
Wird wohl echt schwierig, das Problem zu finden...
Das sollte aber eigentlich in einer Protokolldatei (Logfile)
stehen und auch warum der Account gesperrt wird.

Gruß
Dobby
Bitte warten ..
Mitglied: falkoz
23.08.2014 um 16:34 Uhr
Wenn es quasi "sofort" wieder gesperrt wird, würde ich nicht unbedingt bei Diensten, Postfächern oder Handys suchen, die sind in der Regel schlau genug nur einen Versuch zu machen und dann abzubrechen. Aber wie sieht's den mit Netzwerk-Geräten aus, die sich im Normalfall ehr dämlich verhalten? Ich denk da vielleicht an ein NAS, einen Netzwerk-Scanner oder vielleicht eine Netzwerk-Webcam, die versuchen Mails zu verschicken oder Daten auf ein Share zu legen?
Bitte warten ..
Ähnliche Inhalte
Windows Server
SA Kontosperrung aufheben (ohne andere Admin-Konten)
gelöst Frage von HanutaWindows Server1 Kommentar

Hallo Zusammen, ich habe folgendes Problemwir haben einen SQL 2008 R2 SQL Server. Auf diesem Server ist nur ein ...

Windows Netzwerk
Wo wird ein User-Konto gesperrt?
Frage von jan99Windows Netzwerk2 Kommentare

Moin ! ich bin nicht die IT bei uns - möchte aber dennoch helfen die Ursache zu finden. Ausgangssituation ...

Windows Userverwaltung
Von wo aus wurde mein Konto gesperrt
Frage von Thor01Windows Userverwaltung4 Kommentare

Hallo, habe folgendes Problem. Heute kam es schon zweimal vor, dass mein Microsoft Konto gesperrt wurde. Gibt es auf ...

Windows 8
Admin-Konto in Standard-Konto umwandeln
gelöst Frage von mw1972Windows 85 Kommentare

Wie kann man unter Win 8.1 4bit einen Administrator-Nutzer zum Standardnutzer (am besten ohne Microsoft-Verknüpfung) machen und einen neuen ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 9 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 9 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 12 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 17 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...