Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Nach Kennwort-Änderung - Domänen-Admin ist gesperrt

Frage Microsoft

Mitglied: Maniax88

Maniax88 (Level 1) - Jetzt verbinden

02.07.2009, aktualisiert 16:27 Uhr, 11331 Aufrufe, 8 Kommentare

Das Konto des Domänen-Administrators wird seit der Kennwort-Änderung permanent gesperrt.

Hallo liebe Admins,

nach der Änderung des Kennworts des Domänen-Administrators wird das entsprechende Konto permanent gesperrt. Von einer GPO wird dies nach 4 falschen Eingabeversuchen veranlasst. Meine Frage nun: Gibt es eine Möglichkeit heraus zu finden, welcher Dienst / Server / Client noch das alte Passwort eingetragen hat? Bzw. lässt sich feststellen von welcher IP / Computernamen das Kennwort 4x falsch durchgereicht wird?

Es handelt sich um eine reine Windows 2003 / Windows XP Domäne.

Kann mir irgend jemand weiterhelfen? Ist auf Dauer echt nervig... ^^

Vielen Dank im Voraus.

Viele Grüße

Maniax
Mitglied: markus-tausendfreund
02.07.2009 um 16:35 Uhr
Hallo Maniax,

im Sicherheitslog sollte zumindest das Ereignis auftauchen und da sollte in den Details mehr zu erfahren sein.

Ich hoffe Du findest Deinen Dienst.
mfg
Markus
Bitte warten ..
Mitglied: 2hard4you
02.07.2009 um 16:43 Uhr
also die billige Tour - schau auf dem DC nach, wer sich da als Admin einloggen will, und wie erfolgreich (Security-Log)

die kostenlose Tour - ändere das Passwort zurück und schau dann im Eventlog

die harte Tour - zieh Dir von allen PCs die Dienste, wer wo was startet (Reskit) - und passe das an

gibt noch paar Varianten, aber mach die erst mal ^^^

24
Bitte warten ..
Mitglied: Maniax88
02.07.2009 um 16:46 Uhr
Hallo Markus,

danke für die rasante Antwort!

---------------------------------------------------------------
Aus dem Sicherheitslog lässt sich leider nicht viel in Erfahrung bringen:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 539
Datum: 02.07.2009
Zeit: 16:04:35
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVER01
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Konto gesperrt
Benutzername: Administrator
Domäne: DOMAIN1
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SERVER01
Aufruferbenutzername: SERVER01$
Aufruferdomäne: DOMAIN1
Aufruferanmeldekennung: (0x0,0x3E7)
Aufruferprozesskennung: 4616
Übertragene Dienste: -
Quellnetzwerkadresse: 192.168.144.52
Quellport: 2560


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------------
In diesem Fall habe ich versucht, mich mit dem Administrator-Konto per Remotedesktop auf unseren DC zu schalten und erhalte dann die Fehlermeldung, dass das Konto gesperrt ist. Anschließend muss ich über das Active Directory das Administrator-Konto wieder entsperren und kann mich dann wieder normal anmelden. Bis das Konto dann wieder gesperrt wird.

Grüße

Maniax
Bitte warten ..
Mitglied: Maniax88
02.07.2009 um 16:56 Uhr
Sooo,

hab eben nochmals genauer nachgeschaut und hab ein entsprechendes Ereignis auf dem DC gefunden. Der entsprechende Server ist entlarvt und den Dienst habe ich inzwischen gefunden! Sehr gut! Vielen Dank Euch beiden für die schnelle Hilfe. Top

Viele Grüße

Maniax
Bitte warten ..
Mitglied: markus-tausendfreund
02.07.2009 um 17:03 Uhr
Hallo Maniax,

Lt MS bezieht sich die anmeldung auf einen RDP Userverbindung.

Anmeldetyp 10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.

Wenn du das selber sein solltest hilft Dir das nicht weiter.

Unter http://support.microsoft.com/kb/171148/en-us könnte Dir vielleicht auch weiter geholfen werden es geht zwar hier nicht direkt um benanntes Betriebssystem aber vielleicht kommst ja dann noch auf einen Idee die Dir weiterhilft.

Gruß
Markus
Bitte warten ..
Mitglied: 2hard4you
02.07.2009 um 18:39 Uhr
dann passt das doch - es gibt eine wirklich harte Rule - nie einen Service unter nem ablaufbaren Acc starten......

oder nem veränderbaren, wie auch immer - ein Service - ein Acc

24
Bitte warten ..
Mitglied: Maniax88
03.07.2009 um 07:48 Uhr
@Markus danke nochmals für die Mühen.

@24

Ja, da hast Du vollkommen Recht. Leider habe ich die IT in diesem Unternehmen von einem externen Dienstleister übernommen und dort scheint das wohl noch nicht bekannt gewesen zu sein...

Danke für Eure schnelle Hilfe!

Grüße

Maniax
Bitte warten ..
Mitglied: Maniax88
03.07.2009 um 07:54 Uhr
Habe im Sicherheitslog eine weitere Meldung gefunden:

Fehlgeschlagene Vorbestätigung:
Benutzername: administrator
Benutzerkennung: DOMAIN1\Administrator
Dienstname: krbtgt/DOMAIN1
Vorauthentifizierungstyp: 0x2
Fehlercode: 0x12
Clientadresse: 192.168.144.2

Wisst Ihr rein zufällig was "krbtgt" ist?

Maniax
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domänen-Admin Konto wird direkt nach Aufhebung der Kontosperrung wieder gesperrt :-(
Frage von VoDa81Windows Userverwaltung10 Kommentare

Hey, ich habe das Problem, dass sich das Konto eines Domänen-Admin Kollegen direkt nach der Aufhebung der Kontosperrung automatisch ...

Windows Userverwaltung
Admin Account wird gesperrt
gelöst Frage von badkillaWindows Userverwaltung12 Kommentare

Hallo, ich hatte jetzt 2 Wochen Urlaub und musste daraufhin heute mein Kennwort ändern. Seit dem sperrt es meinen ...

Windows Server
Änderung Kennwort bei Anmeldung nicht mehr möglich
Frage von seppmairhubrWindows Server2 Kommentare

Hallo! Ich hab da mal wieder ein Problem. Wenn ich im User (DC - Windows Server2012R2, es gibt nur ...

Windows 8
Datenverlust nach Änderung der Domäne
gelöst Frage von Marc246Windows 820 Kommentare

Guten Tag alle zu zusammen, folgende Problematik habe ich vorliegen: Ein Bekannter von mir war mit seinem Surface über ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 16 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 18 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...