Event IDs 4738 + 4723 mit Anonymous

[morpheus 10]

Hallo,

auf unseren Domaincontrollern (W2k8) im Securitylog erscheinen massig Eventlogeinträge nach folgendem Schema. Erst ein 4738 (Ein Benutzerkonto wurde geändert) und direkt gefolgt von einem 4723 (Es wurde versucht, das Kennwort eines Kontos zu ändern). Auffällig dabei ist, dass als Antragsteller "ANONYMOUS-ANMELDUNG" erscheint.

 

Kann mir jemand sagen was die Ursache dieser Meldungen ist?

 

Bsp-Event:

 

Es wurde versucht, das Kennwort eines Kontos zu ändern.
Antragsteller:
    Sicherheits-ID:        ANONYMOUS-ANMELDUNG
    Kontoname:        ANONYMOUS-ANMELDUNG
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x99890747
Zielkonto:
    Sicherheits-ID:        DOM\UserA
    Kontoname:        UserA
    Kontodomäne:        DOM
Weitere Informationen:
    Berechtigungen        -

bearbeitet 10. Januar 2013 von morpheus

[asembler 10]

Servus Morpheus !

 

Das ist interessant, habe auch am DC seit 2 Tagen massig diesen Event mit :

 

Ein Computerkonto wurde geändert

Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT

CATEGORY Computerkontoverwaltung EVENT ID 4742    

bearbeitet 14. Januar 2013 von asembler

[morpheus 10]

Auch ein Microsoft Support Call konnte es technisch nicht ausreichend klären - naja es lebe ANONYMOUS ;-)

 

Zitat:

"Das Logging ist in der Tat so, es werden in diesem Zusammenhang (Passwort Änderung durch einen Benutzer)(zwei Events geloggt, eines hat den Namen des Benutzer, das andere "NT Authority\Anonymous Logon" als den Benutzer der dies durchgeführt hat. Auch nach gründlicher Suche habe ich keine veröffentliche Dokumentation dazu gefunden die dies genauer erklärt warum im zweiten Event Anonymous Logon erscheint."