Gesperrter Benutzer

[void_pointer 10]

Hallo,

 

in unserer Domäne werden User-Accounts gesperrt, sobald sich ein User 5 Mal mit falschem Kennwort anmelden will.

Jetzt haben wir aber das Problem das ein User mehrmals täglich gesperrt wird (definitiv ohne dass der User sein Passwort falsch eingibt). D.h. auf einmal sind die Netzlaufwerke nicht mehr verfügbar oder nach dem der User seinen Rechner gesperrt hat, kann er ihn nicht mehr entsperren, da der Account gelockt ist. Der User musste vor kurzem sein Passwort ändern. Ich habe nun den Verdacht, das irgendwo das alte Passwort hart gesetzt ist und sich ein Dienst, Task o.Ä. versucht mit dem alten Passwort zu authentifizieren.

In den Scheduled Tasks und in den Diensten ist diesem User aber nichts zugeordnet. Es läuft auch kein Batch-Script im Auto-Start.

Das Ereignisprotokoll auf den Servern zeigt unter Security auch keine Anmeldefehler an. Muss ich das noch irgendwo aktivieren?

Hat irgendjemand eine Idee, wie ich dem Problem auf die Spur kommen kann?

Danke schon mal.

[micha42 29]

Du wirst Recht haben.

Der Benutzer ist irgendwo per Remotedesktop noch angemeldet (mit dem "X" RDP ausgeschaltet) oder hart eingetragen.

 

Überwachung von felhlgeschlagenen Anmeldungen aktivieren, nachgucken, fertig.

 

Michael

[void_pointer 10]

Hallo,

 

ich habe die fehlgeschlagene Anmeldung-Protokollierung aktiviert. Jetzt kann ich in den Server-Logs auch sehen, wann die fehlerhaften Anmeldeversuche für den betroffenen User kommen (Event ID 675).

Und zwar x-Mal mit Fehlercode 0x18 (bad password) und ab dann 0x12 (account locked out). Die Versuche kommen auch, wenn er sich nicht am Rechner befindet (Mittagspause). Die Versuche kommen unregelmässig, dann aber mehrfach pro Sekunde, also definitiv automatisiert.

Habe ich eine Möglichkeit rauszufinden, welcher Prozess auf dem Client-Rechner die Authentifizierung versucht?

[Dirk_privat 10]

Servus,

 

lösche mal den Cache vom IE und überprüfe ob vielleicht ein Netzlaufwerk mit falschen Userdaten verbunden ist.

 

Gruß

Dirk

[micha42 29]

Abgesehen vom letzten Post!

in der Computerverwaltung unter Dienste in der Spalte "anmelden als" gucken ob da der Username eingetragen ist.

Michael

[void_pointer 10]

Hallo,

 

danke an Euch 2 für die Tipps.

Ich habe den Cache vom IE geleert.

Das mit den Neztlaufwerken habe ich schon geprüft, genau so wie Dienste und geplante Tasks.

[fha 10]

Hi!

 

Läuft im Kontext des Benutzers evtl noch ein geplanter Task?

[micha42 29]

Ich hab leider keine Idee mehr.

 

Virus?

Michael

[void_pointer 10]

Hallo,

 

Hi!

 

Läuft im Kontext des Benutzers evtl noch ein geplanter Task?

 

Das mit den Neztlaufwerken habe ich schon geprüft, genau so wie Dienste und geplante Tasks.

Wie gesagt, leider nein.

[void_pointer 10]

Hallo,

 

kennt jemand ein (Freeware) Netzwerk-Tool, mit dem man den Netzwerkverkehr auf dem Rechner nachvollziehen kann UND das anzeigt welcher Prozess die Pakete sendet/empfängt?

[nobex 10]

Mit TCPVIEW könntest Du die TCP-Verbindungen mit zugehörigem Prozess beobachten.