Grecho 0 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 Hallo zusammen, wir haben immer wieder den Fall dass Accounts im AD gesperrt sind. Die Vermutung lag dass die User Ihr PW mehrmals falsch eingegeben haben. Dies ist aber bei einem Fall definitiv nicht der Fall. (und bei den anderen vermutlich auch nicht). Fragen: 1. Woran könnte das noch liegen? Vllt wenn man sich eine Zeit lang mit dem AD nicht angemeldet hat? Gibt es da vllt eine Policy die mir nicht bekannt ist? 2. Gibt es denn ein Log, wo drin steht wieso der Account gesperrt worden ist? Ich kenne das nur von der Mac Welt auf dem OSX Server, dass dort im Protokoll drin steht wieso der Account gesperrt worden ist.. da muss es doch sicherlich auch was für den AD geben? Danke und Gruß Euer Grecho Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 (bearbeitet) Moin, Sabotage, ein Streich, ein Versehen? Ein anderer Mensch benutzt den Usernamen, gibt ein falsches Kennwort ein? Werden Rechner von mehreren Personen benutzt? Wird der Name des vorherigen Benutzers angezeigt im Eingabefeld nach dessen Abmelden? Es ist möglich, die Anzeige zu deaktivieren des vorherigen Benutzernamens (Gruppenrichtlinie). Oder gibt es Konten wie Mueller und MuellerR Natürlich gibt es ein Ereignisprotokoll(Ereignisanzeige). Wesentlich, das Protokollieren des Ereignisses muss aktiviert sein. Anmedeversuche überwachen, Anmeldeereignisse überwachen bearbeitet 31. Januar 2016 von lefg Zitieren Link zu diesem Kommentar
Lian 2.415 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 2. Gibt es denn ein Log, wo drin steht wieso der Account gesperrt worden ist? Ich kenne das nur von der Mac Welt auf dem OSX Server, dass dort im Protokoll drin steht wieso der Account gesperrt worden ist.. da muss es doch sicherlich auch was für den AD geben? In der Regel siehst Du das im Security Log des entsprechenden Domain Controller, da die Suche nach dem richtigen Eintrag aufwändig sein kann, verwendet man am besten das Lockout Status Tool: https://www.microsoft.com/en-us/download/details.aspx?id=15201 Wichtig dazu ist, um den passenden Eintrag zu lokalisieren, dass das Tool eingesetzt wird vor dem Entsperren des Kontos. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 Hallo, es gibt ja viele Wege einen Benutzer anzubinden. - Handy / Tablet mit Connect zum AD / Exchange Server - VPN Lösung welche von einem Server terminiert wird - Aufgaben welche unter dem Benutzernamen eingerichtet wurden Hier könnten fehlerhafte Einträge auch eine Sperrung des Kontos auslösen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 (bearbeitet) Mein Gedächtnis sagt, das habe ich schon mal gelesen, finde aber nicht den Thread, war hier oder bei mir. Gefunden: https://www.administrator.de/frage/benutzerkonten-dom%C3%A4ne-immer-gesperrt-117978.html bearbeitet 31. Januar 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 Off-Topic: Nobby das dir das in deinem Alter passiert, der verlinkte Beitrag ist doch erst knapp über 6 Jahre alt ... Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 Aber gewusst und wiedergefunden - trotz kurz vor Rente! :D Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. Januar 2016 Melden Teilen Geschrieben 31. Januar 2016 Hatten wir nicht neulich soclh einen Fall mit Ursache Kennwort in der Aufgabenplanung? Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 2. Februar 2016 Melden Teilen Geschrieben 2. Februar 2016 Aufgabenplanung, Dienste - und auch beliebt: Mobile Devices Auditing auf Account Lockout, dann hat man das relativ schnell identifiziert. 4770 (war's der?) Zitieren Link zu diesem Kommentar
Grecho 0 Geschrieben 3. Februar 2016 Autor Melden Teilen Geschrieben 3. Februar 2016 Die Log FIles wurden leider gelöscht. Ich habe aber über eine Abfrage im AD aufgelistet bekommen welche Accounts gesperrt sind. Ohne Log-FIles kann man sicherlich nicht den Grund erkennen. Aber... 1. Kann man irgendwie herausfinden wann der Account gsperrt worden ist? Wenn ich im Attribute editor nach lockout time schaue wird mir folgender Wert angeziegt: 130988754886797965 (Damit kann ich aber nichts anfangen). 2. Ich glaube immer noch nicht dass so viele Anwender das PW falsch eingeben (das kann ich natürlich beim nächsten mal wenn jemand gesperrt wird anhand der Logs ggfs. auslesen). Aber gibt es prinzipiell von seitens des ADs eine Einstellung die Accounts automatisch löscht wenn man sich nach X Tagen nicht mit dem AD sich verbindet o.ä? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 3. Februar 2016 Melden Teilen Geschrieben 3. Februar 2016 Wer hat die Logs und warum gelöscht? Und nein, so eine Einstellung ist mir unbekannt. Einzig der Ablauf des Passwortes wäre bestimmbar, nicht des Kontos. Habt ihr die DC / das Netz mal auf Viren gescannt? ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 5. Februar 2016 Melden Teilen Geschrieben 5. Februar 2016 Windows 10 hatte da mal einen Bug mit irgendwas Kerberos das sowas ausgelöst hat, der aber irgendwann mal gepatcht wurde: http://akosbakos.ch/domain-joined-windows-10-locking-out-user-account-regularly/ Bei uns ist es oft ein Layer 8 Problem (Nutzer ist verwirrt). Alternativ das Handy das mit Exchange synchronisiert, bei dem der Nutzer dann das Passwort nicht ändert,. Zitieren Link zu diesem Kommentar
longbow 10 Geschrieben 5. Februar 2016 Melden Teilen Geschrieben 5. Februar 2016 Hast du zufälligerweise eine Citrix-Umgebung? Wir hatten mal so was wegen eines Timeout-Problems zwischen externem Zugangspunkt und dem Webinterface. GRuss Longbow Zitieren Link zu diesem Kommentar
Grecho 0 Geschrieben 6. Februar 2016 Autor Melden Teilen Geschrieben 6. Februar 2016 Hallo allen zusammen, @Nobbyaushb: AUf dem DC ist ein Virenscanner installiert, auf den Client auch, keine Infizierung erkannt.Das Netz auf Viren scannen? Wie soll das funktionieren? @Doso: Das mit dem Exchange habe ich mir auch gedacht, aber sollte eigentlich nicht sein, denn wir nutzen den Exchange von Office 365.Eine Synchronisierung findet nur vom DC zum Exchange und nicht umgekehrt statt. @longbow: Nein haben wir nicht, unser DC befindet sich jedoch in der Azure Cloud, auf jedem CLient ist ein VPN Tunnel zum DC aufgebaut. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 6. Februar 2016 Melden Teilen Geschrieben 6. Februar 2016 Ist ja toll, was für Informationen so im nachhinein kommen. Hättest du auch früher sagen können, das es sich um AAD handelt. Du machst es den Helfern echt leicht, tolle Nummer. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.