Administrator - Account Sperrung

[Darkmind 10]

Unsere Domäne ist so konfiguriert das ein Benutzer nach mehrmals fehlgeschlagenen versuchen für eine gewisse zeit gesperrt wird.

 

Eigentlich ist das gut so, doch kann ich das für den Benutzer Administrator unterbinden ?

[grizzly999 11]

Kontensperrungsrichtlinien gelten - sinnvollerweise von Microsoft so programmiert - nicht für den Administrator

 

grizzly999

[Darkmind 10]

hmmmmm

 

hatte da mal ne brute force attacke über http. geloggt durch W3SVC. Genau in dieser Zeit kam diese Meldung:

 

[

Ereignis ID 12294

Quelle: SAM

Benutzer: DOMAENE\Administrator

Typ: Fehler

 

 

Das Konto von պ in der SAM-Datenbank konnte nicht gesperrt werden, da ein Ressourcenfehler, z.B. ein Schreibfehler auf der Festplatte, aufgetreten ist. Der Fehlercode steht in den Fehlerdaten. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück. ]

 

Es wurden noch andere Benutzer gesperrt für eine kurze Zeit. Doch ich denke das sollte im System ja keine Auswirkungen haben. Doch wie ist das beim Administrator Account ?

 

im voraus schon mal danke für eure Antworten

 

Gruss

 

Darkmind

[grizzly999 11]

Der Fehler hat seine Ursachen in einer Replikationskollison: http://support.microsoft.com/default.aspx?scid=kb;en-us;306091

 

Nochmals: der Administratoraccount ist von der Kontensperre, falls eine gesetzt wurde, ausenommen.

 

grizzly999

[Darkmind 10]

hallo grizzly

 

danke für deine Antwort.

 

 

Ich finds nur komisch das diese Meldung ( mehrmals) genau in der Zeit der Angriffe geloggt wurden.

vorher nicht mehr und auch nacher nicht.

 

 

Hab im Anhang einen Screenshot

 

 

muss dazu sagen das der Administrator Account in eine OU verschoben wurde. in dieser OU gibt es aber keine speziellen Gruppenrichtlinien.

im Directory Service, DNS Server und im Dateireplikationsdienst wurden zu dieser zeit keine Fehler angezeigt. hab aber auch keine spezielle Loggings gesetzt.

 

Ein Servercrash oder sonstiges gab es an diesem Tag auch nicht.

 

hmmm.. Wenn derAdministrator Account in einer OU ist, und dort keine Gruppenrichtlinie gesetzt ist, ist die nächst höhere richtlinie der, der gesamte domäne oder ?!?

 

danke und gruss

 

Darkmind

[grizzly999 11]

Hallo Darkmind,

 

tust du mir einen Gefallen, und nimmst das Bild raus, denn mehr verdeutlichen als mein Link auf den zugehörigern KB-Artikel kann er auch nicht (zudem hast du die falsche Zeile selektiert gehabt ;) ).

 

Ich weiss natürlich nicht, wie diese Fehelermeldung mit dem Eindringungsversuch zusammenhängt, aber was soll ich noch sagen? Der Adminaccount kann nicht vom System gesperrt werden, ausgeschlossen. Sicherheitsgründe.

 

Was ich noch anfügen kann: welche Richtlinien diesbezüglich an welcher OU eingestellt wurden und in welcher OU der Account sich auch befindet, das ist egal. Denn Kontosperrungsrichtlinien in der Domäne wirken nur auf Domänenebene, nicht auf OU-Ebene.

 

Aber die Fehlermeldung besagte ja genau dieses, was ich sage, und die Praxis zeigte dir das ja.

 

grizzly999

[Darkmind 10]

joo hab grad noch entdeckt das der eventlog überfüllt war.

 

sorry. :D

 

 

 

ok danke trotzdem

 

hatte schon immer etwas schwierigkeiten mit den richtlinien vererbungen.

ich meinte die Default Domain Policy. wenn ich das richtig verstehe bezieht sich diese nur auf die untercontainer "users" , "Computers" usw. oder !?!

 

Gruss

 

Darkmind