Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Falsche Logins zurueckverfolgen

Frage Sicherheit Sicherheits-Tools

Mitglied: 4311

4311 (Level 1)

18.06.2008, aktualisiert 04.10.2008, 10787 Aufrufe, 7 Kommentare

Seit kurzem wird regelmäßig mein Domänen-Admin-User vom System gesperrt. Wobei ich selbst nicht derjenige bin, der sich falsch einloggt, sondern entweder irgendein User, der Spaßhalber meine Zugangsdaten versucht oder es einfach nicht peilt, dass im Anmeldefenster nicht SEIN Name drin steht. Wobei nach einem Neustart der Benutzername immer leer ist.
Ich hab den Domain-Admin in keinen automatischen-Scrips verwendet, etc. hab schon neugestartet, hatte (als das Thema angefangen hat) mein kennwort seit 2,5 Monaten nicht mehr geändert, was ich aber nach 2maligen "user is locked out" doch vorgezogen habe.

Kennt irgendjemand eine Möglichkeit, Tool oder ein Script, mit dem man das Active-Directory so auslesen kann, dass es mir zu den fehlerhaften Logins eine entsprechende IP-Adresse (oder PC-Name, etc.) ausgibt, damit ich nach verfolgen kann, von welchem Client aus mein Konto immer gesperrt wird?

Ich kann zwar auch andauernd mit einem zweiten Domain-Admin-Account meinen Hauptaccount wieder freischalten, aber das ist ja auch keine Lösung.

Danke schon mal im Voraus
Mitglied: LordGurke
18.06.2008 um 22:18 Uhr
Windows-Server?
Wenn ja, dürftest du über die Verwaltung an die Ereignisanzeige kommen und dort im Sicherheitsprotokoll (dürfte in der englischen Version "Security" heißen) steht dann, wer sich wann von wo eingeloggt hat. Je nach Einstellung werden auch fehlgeschlagene Logins festgehalten, inklusive dem Namen der Workstation.
Bitte warten ..
Mitglied: 4311
18.06.2008 um 22:28 Uhr
Ja, sind Windows2003-Server... Hab schon die Sicherheitsprotokolle unserer beiden Domain-Controller kontrolliert, aber dort keine Fehlgeschlagenen Logins gefunden. Die ganzen anderen Server habe ich noch nicht gecheckt, aber das wäre auch ein bisschen zeitaufwendig.
Die Sercurity-logs zeigen doch meines Wissens nur die direkten Anmeldungen an dem jeweiligen Server an... Aber ich kann mich ja auch theoretisch an einem Client mit falschem Kennwort versuchen anzumelden und dadurch den Account sperren. Somit würde dieser abgewiesene Login nicht in diesen Logs auftauchen.

Gibt es auch ein Logfile, das alle Authorisierungsanfragen im AD mitloggt?
Bitte warten ..
Mitglied: 55283
21.06.2008 um 20:48 Uhr
Hallo,

Wenn du willst, dann mache ich dir mal einen Securitycheck (kostenlos natürlich).

Interesse? - http://www.das-computer-board.de Thread unter Security-Zone 2 erstellen ;)

Gruß Bernie
Bitte warten ..
Mitglied: 4311
21.06.2008 um 23:34 Uhr
Hey Bernie,

Danke für das Angebot, aber einmal ist die Sicherheit bei uns schon sehr gut ausgearbeitet und andererseits hat das mit dem genannten Problem nichts zu tun.

Gruß Timo
Bitte warten ..
Mitglied: euro80
03.07.2008 um 14:26 Uhr
Hallo alle zusammen,

wir haben bei uns gleiches Problem mit 2 Benutzern

wenn also noch jemand input dazu hat, wie man das in einer AD schnell findet ..
nur her damit
Bitte warten ..
Mitglied: 4311
24.09.2008 um 17:32 Uhr
Problem gelöst...
Es gibt ja von Microsoft dieses Windows Ressource Kit... Wenn man das installiert hat, findet man in der Regel unter "C:\Program Files\Windows Resource Kits\Tools\" die Datei "lockoutstatus.exe"
Wenn man diese öffnet, kann man nach den Usern suchen und sehen auf welchem DC (falls mehrere vorhanden sind) diese sich falsch eingeloggt haben.

Rechtsklick auf den DC und man kann das "Netlogon Log" öffnen.
Wenn dieses leer ist, muss man über "Set Netlogon Logging" die Haken auf "Misc Debug", "Logon Processing" und "Add timestamp to logfile" setzen und warten bis der User das nächste mal gelocked wird. Dann sieht man ja in der Übersicht wann und wo und kann dann das Logfile danach durchforsten und sieht den Client, von dem die falschen Logins ausgehen.

Gruß Timo
Bitte warten ..
Mitglied: euro80
04.10.2008 um 20:10 Uhr
Hi Timo,
Danke für´s Feedback.
Haben in der Zwischenzeit Net.IQ eingeführt, darüber gehts dann auch

ein schönes Wochenende
Stefan
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

Windows Server
gelöst Seit Zeitverschiebung falsche Zeit in Domäne (4)

Frage von honeybee zum Thema Windows Server ...

Sicherheits-Tools
SEP Small Business Edition - Ständig falsche High-Risk Meldungen

Frage von Fragenicht zum Thema Sicherheits-Tools ...

DNS
DNS Reverse Lookup - falsche IP (9)

Frage von Johannes219 zum Thema DNS ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...