Ich finde den Log nicht

[conker 10]

Hi@all,

 

ich habe das problem, dass mein user account seit ca. 2 wochen immer wieder gesperrt wird (mehrmals täglich). Da das auch passiert, wenn ich mit meinem laptop nicht am intranet der firma hänge (z.B. am wochenende) schließe ich diesen als fehlerquelle aus. (irgend ein hintergrundeprozess oder -programm auf dem laptop als ursache). Alle anderen Server bzw. PCs im netz an denen ich arbeite habe ich berets überprüft und nichts gefunden.

 

Nun habe ich versucht die ursache zu ermitteln, indem ich eine gpo erstellt habe, diese mit einer ou verknüpft habe und dann meinem user account in diese ou verschoben habe. (Windows Server 2008 R2)

 

in dieser gpo habe ich im gruppenrichtlinienverwaltungs-editor in der computerkonfiguration über "Richtlinien->Windows-Einstellungen->Sicherheitseinstellungen->Erweiterte Überwachungsrichtlinienkonfiguration->Überwachungsrichtlinien->Anmelden/Abmelden" die unterkategorie Kontoüberwachung aktiviert (Erfolg und Fehler). zur kontrolle habe ich auch die unterkategorie "Anmelden überwachen" (Erfolg und Fehler) aktiviert.

 

Wenn ich aber in der Ereignisanzeige nachschaue wird trotz sperren meines useraccounts die kontosperrung nicht im Sicherheits-Protokol eingetragen. die anmeldung hingegen wird protokolliert.:confused::suspect:

 

schaue ich an der falschen stelle? kann mir bitte einer von euch helfen. Wie kann ich rausfinden, was oder wer sich immer wieder versucht mit meinem user account anzumelden, dabei aber ein falsches passwort verwendet und diesen so immer wieder zur sperrung bringt. (ich denke es ist irgend ein prozess oder programm auf irgend einen PC im firmen-netzwerk wo ich mich irgend wann mal angemeldet habe und nun da das passwort in der zwischenzeit geändert wurde dieses nicht mehr stimmt)

 

Bitte helft mir!:confused:

 

Danke im Voraus.

conker

[NilsK 2.971]

Moin,

 

die Sperrung wird vielleicht nicht zu den protokollierten An- und Abmeldeereignissen gehören. Das weiß ich grad nicht aus dem Kopf.

 

Es kann aber auch einfach daran liegen: Dein GPO ist falsch verlinkt. Wenn Computerkonfigurationen wirken sollen, muss das GPO auf das Computerkonto wirken, nicht auf das Benutzerkonto.

 

Im Übrigen wäre es nett, wenn du die Groß- und Kleinschreibung verwendest, um deine Beiträge lesbar zu machen. Danke.

 

Gruß, Nils

 

 

Gruß, Nils

[conker 10]

Hi,

 

ok ich werde mich bessern, was meine Schreibweise angeht. :wink2:

 

Was die GPO angeht denke ich, dass eine falsche Verlinkung aus Ursache ausgeschlossen werden kann, da ich nachdem alle meine Versuche mit neu erstellten GPOs gescheitert waren, die Protokollierung direkt in der "Default Domain Policy" eingestellt habe.

 

Damit sollte die Protokollierung meiner Meinung nach doch auf die gesammte Domain Einfluss haben, oder etwas nicht?:suspect:

 

Weis denn einer, wo die Fehler für das sperren eines User Accounts protokolliert werden? Meiner Meinung nach müsste das doch im Security-Protokol im Eventlog stehen, oder?:confused:

[NilsK 2.971]

Moin,

 

Maintaining and Monitoring Account Lockout

Troubleshooting Account Lockout

Account Lockout Tools

 

Im Security-Log solltest du nach den Event-IDs 529, 644, 675, 676 und 681 suchen. Wichtig: Die Kontensperrung siehst du auf den DCs, nicht auf deinen Clients!

 

Übrigens ist es keine gute Idee, einfach mal so für die ganze Domäne die Überwachung zu aktivieren. Informiere dich bei einem Anwalt, das ist juristisch relevant.

 

Gruß, Nils

[conker 10]

Danke erst mal für den Hinweis. Das werde ich mal überprüfen. Zum anderen kann ich Dich beruhigen, da ich aktuell die ganzte Sache nur auf einer kleine Test-Domain teste und erst wenn es funzt wollte ich es auf die Firmen -Domain loslassen. Dann aber natürlich in einer gesonderten GPO, die an eine OU gelinkt wird, die nur meinen User-Account enthält.

 

Ich melde mich dann wieder.

 

Danke nochmal.

 

-conker

[NilsK 2.971]

Moin,

 

Dann aber natürlich in einer gesonderten GPO, die an eine OU gelinkt wird, die nur meinen User-Account enthält.

 

ich weiß nicht, warum du das trotz Erläuterung nicht verstehst, aber: Das wird nicht gehen ...

 

Gruß, Nils

[conker 10]

ich weiß nicht, warum du das trotz Erläuterung nicht verstehst, aber: Das wird nicht gehen ...

 

Sorry, aber ich scheine wirklich nicht zu verstehen?:confused:

 

Was genau meinst Du mit Erläuterung?

[conker 10]

Hallo nochmal,

 

ich bin nochmal über alle deine Anworten geflogen und denke Du meinst mit Erleuterungen:

 

Wenn Computerkonfigurationen wirken sollen, muss das GPO auf das Computerkonto wirken, nicht auf das Benutzerkonto.

 

Aber ich weis doch nicht, von welchem Comuter der falsche Loginversuch kommt. Wie soll ich da die GPO an eine OU hängen die diesen Comuter enthält. Dann müsste ich ja alle Computer in diese OU geben, was wiederum bedeutet, dass gleich die Default Domain Policy genommen werden könnte.

 

Oder? :confused:

[Sunny61 812]

Aber ich weis doch nicht, von welchem Comuter der falsche Loginversuch kommt. Wie soll ich da die GPO an eine OU hängen die diesen Comuter enthält. Dann müsste ich ja alle Computer in diese OU geben, was wiederum bedeutet, dass gleich die Default Domain Policy genommen werden könnte.

 

Warum im ganzen Haus die Fenster aufmachen, wenn es im Erdgeschoß ausreichend ist?

 

EDIT: Du kannst die GPO doch auf mehrere OUs verlinken, so kannst Du die GPO mit den Einstellungen später wieder einfacher von den OUs wegnehmen.

[NilsK 2.971]

Moin,

 

und nochmal: Ein AD-Konto wird von einem DC gesperrt, nicht vom Client. Daher wirst du die Einträge auch nur auf den DCs finden. Dein ganzer Überwachungsansatz ist falsch.

 

Und auch nochmal: Eine Computerkonfiguration an ein Benutzerkonto zuzuweisen, bringt exakt überhaupt nichts.

 

Gruß, Nils

[conker 10]

Wenn ich euch richtig verstehe, soll ich also die GPO mit den DCs verlinken?

[conker 10]

So also langsam merke ich, dass ich das irgendwie falsch angehen will:

 

Kontosperrung

 

Wenn Sie diese Richtlinieneinstellung konfigurieren, wird ein

Überwachungsereignis generiert, falls ein Konto bei einem Computer nicht

angemeldet werden kann, da es gesperrt ist.

 

diese Richtlinieneinstellung ist für mein Problem damit wohl ungeignet und erklärt auch, warum bei meinem Versuchen kein Protokolleintrag im Security-Log erzeugt wurde. (ich sollte die Erklärung für die Richtlinieneinstellung wirklich beser lesen :D)

 

Aberwelche sollte ich denn dann verwenden. Ich mache mich dann mal auf die Suche. Eine kleiner Tipp von Euch könnte meine Suche aber sicherlich etwas beschläunigen und währe wirklich gern angenommen.:wink2:

 

Trotzdem erst mal danke für Eure Kommentare.

 

Gruß,

conker

[conker 10]

Hi Leute,

 

ich hab es rausgefunden. Mein Problem kann ich mit der GPO Benutzerkontenverwaltung lösen.

 

Benutzerkontenverwaltung

 

Mithilfe dieser Richtlinieneinstellung können Sie Änderungen an Benutzerkonten überwachen. Die Ereignisse umfassen Folgendes:

Erstellen, Ändern, Löschen, Umbenennen, Deaktivieren, Aktivieren, Sperren oder Entsperren eines Benutzerkontos.

 

Ich habe es bereits am Test-DC ausprobliert und es funzt. Morgen werde ich es dann am Firmennetzwerk umsetzen und so den hoffentlich den Übeltäter enttarnen.

 

Ich danke euch für Eure Hinweise und mitte ech zu verzeihen, wenn ich manchmal nicht gleich alles verstehe. Bin halt noch neu in der Thematik und muss mich erst noch einarbeiten.

 

Gruß,

conker

[NilsK 2.971]

Moin,

 

okay, danke für die Rückmeldung! Und viel Erfolg.

 

Gruß, Nils