Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Eindringversuch?

Frage Microsoft Windows Server

Mitglied: jr1510

jr1510 (Level 1) - Jetzt verbinden

20.07.2009, aktualisiert 14:59 Uhr, 2328 Aufrufe

Moin, moin,

seit einigen Wochen laufen bei uns auf einem Domänencontroller (Windows 2003 Server) in der Ereignisanzeige im Abschnitt Sicherheit permanent die unten stehenden Einträge auf und müllen das Protokoll zu. Der Eintrag mit der Ereigniskennung 565 taucht dabei zwischen einem Anmelde- (540) und einem Abmeldevorgang (538) mehrfach auf. Offensichtlich meldet sich ein Rechner namens MANGO$ auf unserem Server an, tut etwas und meldet sich wieder ab. MANGO$ ist jedoch nicht Mitglied in unserer Domäne, ebenfalls nicht der Nutzer von MANGO$.

Kann mir jemand hier mal erklären, was diese Einträge bedeuten und was MANGO$ auf unserem Server anstellt? Wie kann sich ein Computer, der nicht zur Domäne gehört, überhaupt anmelden? Kann ich MANGO$ irgendwie sperren?

Leider hat mir bisher die Recherche im Netz nicht weiter geholfen und unsere anderen Admins wissen auch keinen Rat. Könnt Ihr mir helfen?

Vielen Dank für Eure Tips und Hinweise!


Viele Grüße
Jörg Radomski


Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {0c855d6c-8b1b-5f32-c999-1e525035ab8b}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xx.xxx.191
Quellport: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 565
Datum: 20.07.2009
Zeit: 13:01:59
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security Account Manager
Objekttyp: SAM_DOMAIN
Objektname: CN=Builtin,DC=kueste,DC=auf,DC=uni-rostock,DC=de
Handlekennung: 772136
Vorgangskennung: {0,50348475}
Prozesskennung: 444
Prozessname: C:\WINDOWS\system32\lsass.exe
Primärer Benutzername: ISLAND$
Primäre Domäne: KUESTE
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: MANGO$
Clientdomäne: LU
Clientanmeldekennung: (0x0,0x30041A6)
Zugriffe READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten

Berechtigungen -

Eigenschaften:
---
domain
READ_CONTROL
Andere Parameter lesen
Benutzer erstellen
Lokale Gruppenmitgliedschaft erhalten
Domain Password & Lockout Policies
lockOutObservationWindow
lockoutDuration
lockoutThreshold
maxPwdAge
minPwdAge
minPwdLength
pwdHistoryLength
pwdProperties
Other Domain Parameters (for use by SAM)
serverState
serverRole
modifiedCount
uASCompat
forceLogoff
domainReplica
oEMInformation
Domain Administer Server

Zugriffsmaske: 0

[...]

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 538
Datum: 20.07.2009
Zeit: 13:02:00
Benutzer: LU\MANGO$
Computer: ISLAND
Beschreibung:
Benutzerabmeldung:
Benutzername: MANGO$
Domäne: LU
Anmeldekennung: (0x0,0x30041A6)
Anmeldetyp: 3
Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst ZIP-Archive nach Dateien durchsuchen und Pfade ausgeben (33)

Frage von evinben zum Thema Batch & Shell ...

Router & Routing
Routingproblem in Homerouter-Kaskade mit Raspi (19)

Frage von Oldschool zum Thema Router & Routing ...

Server
Freenas schlechte Schreib Performance bei NFS (16)

Frage von janosch12 zum Thema Server ...

LAN, WAN, Wireless
Buffolo AccessPoint IP vergessen - herausfinden (9)

Frage von staybb zum Thema LAN, WAN, Wireless ...