Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Nach Kennwort-Änderung - Domänen-Admin ist gesperrt

Frage Microsoft

Mitglied: Maniax88

Maniax88 (Level 1) - Jetzt verbinden

02.07.2009, aktualisiert 16:27 Uhr, 10845 Aufrufe, 8 Kommentare

Das Konto des Domänen-Administrators wird seit der Kennwort-Änderung permanent gesperrt.

Hallo liebe Admins,

nach der Änderung des Kennworts des Domänen-Administrators wird das entsprechende Konto permanent gesperrt. Von einer GPO wird dies nach 4 falschen Eingabeversuchen veranlasst. Meine Frage nun: Gibt es eine Möglichkeit heraus zu finden, welcher Dienst / Server / Client noch das alte Passwort eingetragen hat? Bzw. lässt sich feststellen von welcher IP / Computernamen das Kennwort 4x falsch durchgereicht wird?

Es handelt sich um eine reine Windows 2003 / Windows XP Domäne.

Kann mir irgend jemand weiterhelfen? Ist auf Dauer echt nervig... ^^

Vielen Dank im Voraus.

Viele Grüße

Maniax
Mitglied: markus-tausendfreund
02.07.2009 um 16:35 Uhr
Hallo Maniax,

im Sicherheitslog sollte zumindest das Ereignis auftauchen und da sollte in den Details mehr zu erfahren sein.

Ich hoffe Du findest Deinen Dienst.
Mit freundlichen Grüßen
Markus
Bitte warten ..
Mitglied: 2hard4you
02.07.2009 um 16:43 Uhr
also die billige Tour - schau auf dem DC nach, wer sich da als Admin einloggen will, und wie erfolgreich (Security-Log)

die kostenlose Tour - ändere das Passwort zurück und schau dann im Eventlog

die harte Tour - zieh Dir von allen PCs die Dienste, wer wo was startet (Reskit) - und passe das an

gibt noch paar Varianten, aber mach die erst mal ^^^

24
Bitte warten ..
Mitglied: Maniax88
02.07.2009 um 16:46 Uhr
Hallo Markus,

danke für die rasante Antwort!

---------------------------------------------------------------
Aus dem Sicherheitslog lässt sich leider nicht viel in Erfahrung bringen:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 539
Datum: 02.07.2009
Zeit: 16:04:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: Administrator
Domäne: DOMAIN1
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVER01
Aufruferbenutzername: SERVER01$
Aufruferdomäne: DOMAIN1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 4616
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.144.52
Quellport: 2560


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------
In diesem Fall habe ich versucht, mich mit dem Administrator-Konto per Remotedesktop auf unseren DC zu schalten und erhalte dann die Fehlermeldung, dass das Konto gesperrt ist. Anschließend muss ich über das Active Directory das Administrator-Konto wieder entsperren und kann mich dann wieder normal anmelden. Bis das Konto dann wieder gesperrt wird.

Grüße

Maniax
Bitte warten ..
Mitglied: Maniax88
02.07.2009 um 16:56 Uhr
Sooo,

hab eben nochmals genauer nachgeschaut und hab ein entsprechendes Ereignis auf dem DC gefunden. Der entsprechende Server ist entlarvt und den Dienst habe ich inzwischen gefunden! Sehr gut! Vielen Dank Euch beiden für die schnelle Hilfe. Top

Viele Grüße

Maniax
Bitte warten ..
Mitglied: markus-tausendfreund
02.07.2009 um 17:03 Uhr
Hallo Maniax,

Lt MS bezieht sich die anmeldung auf einen RDP Userverbindung.

Anmeldetyp 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.

Wenn du das selber sein solltest hilft Dir das nicht weiter.

Unter http://support.microsoft.com/kb/171148/en-us könnte Dir vielleicht auch weiter geholfen werden es geht zwar hier nicht direkt um benanntes Betriebssystem aber vielleicht kommst ja dann noch auf einen Idee die Dir weiterhilft.

Gruß
Markus
Bitte warten ..
Mitglied: 2hard4you
02.07.2009 um 18:39 Uhr
dann passt das doch - es gibt eine wirklich harte Rule - nie einen Service unter nem ablaufbaren Acc starten......

oder nem veränderbaren, wie auch immer - ein Service - ein Acc

24
Bitte warten ..
Mitglied: Maniax88
03.07.2009 um 07:48 Uhr
@Markus danke nochmals für die Mühen.

@24

Ja, da hast Du vollkommen Recht. Leider habe ich die IT in diesem Unternehmen von einem externen Dienstleister übernommen und dort scheint das wohl noch nicht bekannt gewesen zu sein...

Danke für Eure schnelle Hilfe!

Grüße

Maniax
Bitte warten ..
Mitglied: Maniax88
03.07.2009 um 07:54 Uhr
Habe im Sicherheitslog eine weitere Meldung gefunden:

Fehlgeschlagene Vorbestätigung:
Benutzername: administrator
Benutzerkennung: DOMAIN1\Administrator
Dienstname: krbtgt/DOMAIN1
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x12
Clientadresse: 192.168.144.2

Wisst Ihr rein zufällig was "krbtgt" ist?

Maniax
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...