Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eindringversuch?

Frage Microsoft Windows Server

Mitglied: jr1510

jr1510 (Level 1) - Jetzt verbinden

20.07.2009, aktualisiert 14:59 Uhr, 2345 Aufrufe

Moin, moin,

seit einigen Wochen laufen bei uns auf einem Domänencontroller (Windows 2003 Server) in der Ereignisanzeige im Abschnitt Sicherheit permanent die unten stehenden Einträge auf und müllen das Protokoll zu. Der Eintrag mit der Ereigniskennung 565 taucht dabei zwischen einem Anmelde- (540) und einem Abmeldevorgang (538) mehrfach auf. Offensichtlich meldet sich ein Rechner namens MANGO$ auf unserem Server an, tut etwas und meldet sich wieder ab. MANGO$ ist jedoch nicht Mitglied in unserer Domäne, ebenfalls nicht der Nutzer von MANGO$.

Kann mir jemand hier mal erklären, was diese Einträge bedeuten und was MANGO$ auf unserem Server anstellt? Wie kann sich ein Computer, der nicht zur Domäne gehört, überhaupt anmelden? Kann ich MANGO$ irgendwie sperren?

Leider hat mir bisher die Recherche im Netz nicht weiter geholfen und unsere anderen Admins wissen auch keinen Rat. Könnt Ihr mir helfen?

Vielen Dank für Eure Tips und Hinweise!


Viele Grüße
Jörg Radomski


Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {0c855d6c-8b1b-5f32-c999-1e525035ab8b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xx.xxx.191
Quellport: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

[...]

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 20.07.2009
Zeit: 13:02:00
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Benutzerabmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (56)

Frage von pjrtvly zum Thema Internet ...

Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst IP Adressen - Modem - Switch - Accesspoint (22)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows 7
Bluesreens unternehmensweit (22)

Frage von SYS64738 zum Thema Windows 7 ...