Konto wird dauernd gesperrt

[schweigerb 0]

Hallo zusammen,

 

wir haben ein Benutzerkonto (natürlich das vom Chef), dass wird in unterschiedlichen Abständen immer wieder gesperrt.

 

Gibt es irgendein Tool, womit ich rausfinden kann, von wo die Sperrung herkommt.

 

Ich denke das daran liegt, dass das Passwort zu oft falsch eingegeben wird.

 

Er behaupten das es nicht so ist.

 

iPhone iPad usw. kann ich ausschließen. Dort ist das Passwort richtig hinterlegt.

 

 

[BABA 11]

Irgendwelche APPS mit denen er auf Anwendungen im Unternehmen zugreift?

Webseiten die ihr lokal hostet, wo man sich einloggen kann und die eine AD API nutzen? (Intranet z.B.)

[schweigerb 0]

Nein... nicht das mir bekannt ist.

 

Ich habe mir das tool Lockoutstatus angeschaut... aber irgendwie sagt es mir nur das es gesperrt ist

[Sunny61 806]

ALLE mobilen Geräte prüfen, am besten für einen Zeitraum von 1 Stunde abschalten, PW korrigieren und an einem Client anmelden. Funktioniert es, dann das nächste mobile Gerät einschalten und testen. Stück für Stück herantasten. Meistens ist es so ein mobiles Gerät. Liegt evtl. ein Gerät zuhause?

[BABA 11]

Ist Dein Chef beliebt?

Könnte ja sein, das jemand das Login benutzt und absichtlich z.B. das Passwort 3x falsch eingibt?

[NorbertFe 2.027]

Das Tool heißt eventlog ;) üblicherweise sind es:

- remote Sitzungen die schon vor kennwortänderung aktiv waren

- irgendwelche Skripte oder Netzlaufwerke

- mobile Geräte

 

Such dir was aus.

[blub 115]

Nein... nicht das mir bekannt ist.

 

Ich habe mir das tool Lockoutstatus angeschaut... aber irgendwie sagt es mir nur das es gesperrt ist

ea sagt dir auch, wann und auf welchem DC der Account gesperrt wurde! -> das security eventlog bzw. das zugehörige sec-event auf diesem DC liefert dir den Client, auf dem die Anmeldung versucht wurde (sollte es bei korrekter Konfiguration zumindest!).

[schweigerb 0]

Und nach welchen Event ID´s muss ich suchen?

[blub 115]

du hast doch die sekundengenaue Uhrzeit des Events

[schweigerb 0]

Event ID 4771 = Pre-Authentifizierungsfehler Sagt mir das Eventlog

[NorbertFe 2.027]

http://www.mcseboard.de/topic/198477-client-mit-fehlerhafter-authentifizierung-identifizieren-account-lockout/?fromsearch=1

[schweigerb 0]

Das bringt mich aber nicht weiter. Ich kenne ja jetzt die Event ID

[NorbertFe 2.027]

Da dein Konto gesperrt wird, solltest du aber nicht nur die Pre-Auth Meldung bekommen, sondern auch die andere. Wenn du die nicht hast, schau nach, ob das auditing korrekt konfiguriert ist. Wenn ja, dann such die Meldung. ;)

[blub 115]

steht denn keine Clientadresse im Eventlog?

Filter außerdem mal nach 4771, vielleicht erkennt dein Chef etwas am Zeitmuster

 

Pre-auth-Fehler heisst übersetzt: Passwort falsch, so dass kein Kerberos-Ticket ausgestellt wird.

[NorbertFe 2.027]

Das weiß ich. Aber gesperrt wird's mit einer anderen id und da ist dann auch mehr zu lesen.