Benutzer sperrt sich automatisch

[TruckerTom 10]

Ich habe folgendes Problem:

 

In einer Domäne sperren sich zwei Benutzer kurze Zeit (der eine innerhalb von Stunden, der andere innerhalb von 1-2 Tagen) immer wieder automatisch, nachdem das Passwort geändert wurde.

Defintiv sind die Benutzer nicht WISSENTLICH dran Schuld.

Ausserdem kann ich weder einen Task noch einen Dienst feststellen, der mit dem Usernamen konfiguriert ist/sind.

 

Deshalb habe ich gestern noch eine Gruppenrichtlinie angelegt, mit folgendem Inhalt:

 

Computerkonfiguration --> Sicherheitseinstellungen --> Lokale Richtlinien --> Überwachungsrichtlinien und dort dann alle "Fehlgeschlagen"en zu protokollieren.

Da ich mir dachte, dass dies etwas mehr werden könnte wollte ich auch noch das Sicherheitsprotokoll vergrössern auf 32MB, unter:

Computerkonfiguration --> Sicherheitseinstellungen --> Ereignisprotokoll --> maximale Größe des Sicherheitsprotokolls 32064 Kilobytes.

 

Da ich wusste, dass gpupdate /force unter W2K-Server nicht funktioniert (kann ich das eigentlich einfach von einem XP oder W2K3-Server rüberkopieren und benutzen?) wurde der Server neu gestartet.

Trotzdem hat er zumindest die 32064 Kilobytes nicht übernommen.

Was mache ich falsch?

[onewayticket 10]

Hallo,

Da ich wusste, dass gpupdate /force unter W2K-Server nicht funktioniert

Beim W2k Srv als auch Client lautet der Befehl:

2K/Benutzer: secedit /refreshpolicy user_policy /enforce

2K/Computer: secedit /refreshpolicy machine_policy /enforce

 

Wie sieht den die Domänenrichtlinie aus ist da etwas von wegen Kontosperrung Aktiviert?

Eventuell versucht sich ja auch jemand in das System zu hacken und benutzt diese Anmeldenamen.

 

Lass doch mal den Netzwerkmonitor laufen.

 

MfG

Onewayticket

[TruckerTom 10]

ja, in der Domänenrichtlinie ist eine Sperrung nach 5 falschen Versuchen konfiguriert und das ist auch durchaus Absicht so.

[onewayticket 10]

ja, in der Domänenrichtlinie ist eine Sperrung nach 5 falschen Versuchen konfiguriert und das ist auch durchaus Absicht so.

 

Ich sage ja nicht dagegen. Würde ich auch so handhaben.

 

Schon mal den Netmon angeschmissen um zu sehen woher die Fehlerhaften anmeldungen kommen??

[TruckerTom 10]

Sry, ich wusste, dass Du da nichts dagegegn sagst, irgendwie bin ich zur Zeit wohl ein klitzekleines bisschen überlastet, dass das so scharf rüber kam!

 

Also jetzt habe ich endlich mal ein paar Einträge im Ereignisprotokoll, die auch aktuell sind:

 

Fehlgeschlagene Anfrage für Authentifizierungsticket:

Benutzername: edv

Angegebener Bereichsname: FFM.PKS-DIREKT.DE

Dienstname: krbtgt/FFM.PKS-DIREKT.DE

Ticketoptionen: 0x40810010

Fehlercode: 0x12

Clientadresse: 192.168.64.6

Fehlgeschlagene Vorbestätigung:

Benutzername: EDV

Benutzerkennung: FFM\EDV

Dienstname: krbtgt/FFM.PKS-DIREKT.DE

Vorauthentifizierungstyp: 0x2

Fehlercode: 0x18

Clientadresse: 192.168.64.6

 

Netmon? stehe ich gerade auf der Leitung?

[Deejablo 10]

Habt ihr irgendwelche TS im Einsatz und die betreffenden User sind dort noch angemeldet mit falschen Passwort von einer vorherigen Sitzung?

[olc 18]

Schau mal bitte in folgenden Thread: http://www.mcseboard.de/windows-forum-ms-backoffice-31/badpasswordcount-zaehlt-automatisch-rauf-109902.html

 

Mein Post dazu ist ganz unten - vielleicht hilft es Dir weiter.

 

Gruß olc

[TruckerTom 10]

Danke für die Hilfe, aber wir haben das gelöst, indem wir einfach den Anmeldenamen des Users geändert haben.

Damit wird er nicht mehr automatisch gesperrt, der Kunde wollte keinen weiteren Aufwand an Zeit bezahlen :-)