schweigerb 0 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 Hallo zusammen, wir haben ein Benutzerkonto (natürlich das vom Chef), dass wird in unterschiedlichen Abständen immer wieder gesperrt. Gibt es irgendein Tool, womit ich rausfinden kann, von wo die Sperrung herkommt. Ich denke das daran liegt, dass das Passwort zu oft falsch eingegeben wird. Er behaupten das es nicht so ist. iPhone iPad usw. kann ich ausschließen. Dort ist das Passwort richtig hinterlegt. Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 Irgendwelche APPS mit denen er auf Anwendungen im Unternehmen zugreift? Webseiten die ihr lokal hostet, wo man sich einloggen kann und die eine AD API nutzen? (Intranet z.B.) Zitieren Link zu diesem Kommentar
schweigerb 0 Geschrieben 21. November 2016 Autor Melden Teilen Geschrieben 21. November 2016 Nein... nicht das mir bekannt ist. Ich habe mir das tool Lockoutstatus angeschaut... aber irgendwie sagt es mir nur das es gesperrt ist Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 ALLE mobilen Geräte prüfen, am besten für einen Zeitraum von 1 Stunde abschalten, PW korrigieren und an einem Client anmelden. Funktioniert es, dann das nächste mobile Gerät einschalten und testen. Stück für Stück herantasten. Meistens ist es so ein mobiles Gerät. Liegt evtl. ein Gerät zuhause? Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 Ist Dein Chef beliebt? Könnte ja sein, das jemand das Login benutzt und absichtlich z.B. das Passwort 3x falsch eingibt? Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 Das Tool heißt eventlog ;) üblicherweise sind es: - remote Sitzungen die schon vor kennwortänderung aktiv waren - irgendwelche Skripte oder Netzlaufwerke - mobile Geräte Such dir was aus. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 21. November 2016 Melden Teilen Geschrieben 21. November 2016 Nein... nicht das mir bekannt ist. Ich habe mir das tool Lockoutstatus angeschaut... aber irgendwie sagt es mir nur das es gesperrt ist ea sagt dir auch, wann und auf welchem DC der Account gesperrt wurde! -> das security eventlog bzw. das zugehörige sec-event auf diesem DC liefert dir den Client, auf dem die Anmeldung versucht wurde (sollte es bei korrekter Konfiguration zumindest!). Zitieren Link zu diesem Kommentar
schweigerb 0 Geschrieben 22. November 2016 Autor Melden Teilen Geschrieben 22. November 2016 Und nach welchen Event ID´s muss ich suchen? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. November 2016 Melden Teilen Geschrieben 22. November 2016 du hast doch die sekundengenaue Uhrzeit des Events Zitieren Link zu diesem Kommentar
schweigerb 0 Geschrieben 22. November 2016 Autor Melden Teilen Geschrieben 22. November 2016 Event ID 4771 = Pre-Authentifizierungsfehler Sagt mir das Eventlog Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 22. November 2016 Melden Teilen Geschrieben 22. November 2016 http://www.mcseboard.de/topic/198477-client-mit-fehlerhafter-authentifizierung-identifizieren-account-lockout/?fromsearch=1 Zitieren Link zu diesem Kommentar
schweigerb 0 Geschrieben 22. November 2016 Autor Melden Teilen Geschrieben 22. November 2016 Das bringt mich aber nicht weiter. Ich kenne ja jetzt die Event ID Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 22. November 2016 Melden Teilen Geschrieben 22. November 2016 Da dein Konto gesperrt wird, solltest du aber nicht nur die Pre-Auth Meldung bekommen, sondern auch die andere. Wenn du die nicht hast, schau nach, ob das auditing korrekt konfiguriert ist. Wenn ja, dann such die Meldung. ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. November 2016 Melden Teilen Geschrieben 22. November 2016 steht denn keine Clientadresse im Eventlog? Filter außerdem mal nach 4771, vielleicht erkennt dein Chef etwas am Zeitmuster Pre-auth-Fehler heisst übersetzt: Passwort falsch, so dass kein Kerberos-Ticket ausgestellt wird. Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 22. November 2016 Melden Teilen Geschrieben 22. November 2016 Das weiß ich. Aber gesperrt wird's mit einer anderen id und da ist dann auch mehr zu lesen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.