Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eindringversuch?

Frage Microsoft Windows Server

Mitglied: jr1510

jr1510 (Level 1) - Jetzt verbinden

20.07.2009, aktualisiert 14:59 Uhr, 2312 Aufrufe

Moin, moin,

seit einigen Wochen laufen bei uns auf einem Domänencontroller (Windows 2003 Server) in der Ereignisanzeige im Abschnitt Sicherheit permanent die unten stehenden Einträge auf und müllen das Protokoll zu. Der Eintrag mit der Ereigniskennung 565 taucht dabei zwischen einem Anmelde- (540) und einem Abmeldevorgang (538) mehrfach auf. Offensichtlich meldet sich ein Rechner namens MANGO$ auf unserem Server an, tut etwas und meldet sich wieder ab. MANGO$ ist jedoch nicht Mitglied in unserer Domäne, ebenfalls nicht der Nutzer von MANGO$.

Kann mir jemand hier mal erklären, was diese Einträge bedeuten und was MANGO$ auf unserem Server anstellt? Wie kann sich ein Computer, der nicht zur Domäne gehört, überhaupt anmelden? Kann ich MANGO$ irgendwie sperren?

Leider hat mir bisher die Recherche im Netz nicht weiter geholfen und unsere anderen Admins wissen auch keinen Rat. Könnt Ihr mir helfen?

Vielen Dank für Eure Tips und Hinweise!


Viele Grüße
Jörg Radomski


Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {0c855d6c-8b1b-5f32-c999-1e525035ab8b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xx.xxx.191
Quellport: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

[...]

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 20.07.2009
Zeit: 13:02:00
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Benutzerabmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (23)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...