Benutzer nach Standby in Domäne gesperrt

[DerHobbit 0]

Guten Morgen zusammen!

 

Ich habe ein Problem mit einem Windows 10 Rechner (10.0.16299). Wenn der Benutzer längere Zeit nicht am PC arbeitet, sperrt sich dieser. Kommt dann der Benutzer z. B. nach zwei Stunden wieder, wurde der Benutzer in der Domäne (Windows 2016-Server) gesperrt. Ich muss ihn dann jedes mal über die Active Directoryr wieder entsperren, damit er sich wieder am PC anmelden kann. Auch sind dann sämtliche mobilen Endgeräte vom E-Mailverkehr abgeschnitten, da halt der Benutzer komplett gesperrt wurde.

 

Woran kann das liegen?

 

Schönen Gruß

 

Frank

bearbeitet 4. Mai 2018 von DerHobbit

[NorbertFe 2.105]

Ich würde erstmal schauen, ob die Sperrung tatsächlich von diesem Gerät aus erfolgt und auch ob nur im gesperrten Zustand.

[DerHobbit 0]

Der Kollege (dummerweise der Chef - wer sonst...) ist halt viel außer Haus. Da hat er die Probleme nicht - auch nicht am Terminalserver. Nur wenn er im Büro ist, sein Notebook ans Netz anmeldet und dann zwei Stunden nicht arbeitet, ist sein Konto gesperrt. Wenn ich dann nicht im Büro bin (wie gestern) ist das halt blöde. Gut, dass ich mich mit dem Handy auf den Server schalten kann. So konnte ich ihm gestern trotz Urlaub schnell helfen. 

[NorbertFe 2.105]

Wenn er arbeitet ist es nicht gesperrt? Ich vermute mal, dass er entweder die ganze Zeit mit gecacheten "veralteten" Credentials hantiert oder einen Task oder ähnliches mit alten Credentials auf dem Notebook konfiguriert hat. Da wirst du halt nicht drum herumkommen, auch das Notebook vom Chef mal genauer in Augenschein zu nehmen. :P

[DerHobbit 0]

Er meldet sich morgens an. Alles ok. Dann geht er vom PC weg. Der PC sperrt sich, fährt in den Standby. Alles OK soweit. Wenn er dann wiederkommt, will sich anmelden, kommt die Meldung, dass sein Benutzer gesperrt ist und er kann sich ab dann nicht mehr am PC anmelden. Hier muss ich dann am Server in der Active Directory den Benutzer wieder freigeben. 

[NorbertFe 2.105]

Tja, wenn das alles ist, was du rausfinden willst, dann kann ich dir leider nicht helfen. Obige Hinweise sollten eigentlich helfen das Problem einzugrenzen. ;)

[DerHobbit 0]

Ich hab doch gar nicht geschrieben, was ich herausfinden will sondern nur geschrieben, was der PC aktuell macht. 

 

Du hast doch nur geschrieben, dass ich mir den PC genauer anschauen soll. Ja gut. Ich bin hier nebenbei für die PC´s verantwortlich. Aber das ist nicht meine Hauptaufgabe. Daher sagt mir der Begriff "Credentials" leider nichts. Wie kann ich also prüfen, ob die veraltet sind?

[Dukel 457]

Dann lass das den machen, der für die PC's verantwortlich ist.

 

Credentials ist das Englische Wort für Anmeldeinformationen (Username und Passwort).

[DerHobbit 0]

Ich bin für die PC´s verantwortlich. Nur stellt ein Unternehmen mit 40 PC´s in der Regel selten einen hauptberuflichen Admin ein. Ich binde neue PC´s ins Netzwerk ein, kontrolliere die Server wie z. B. WSUS, Datensicherung oder Virenscanner. Spiele Updates ein und bin für den First Level Support verantwortlich. Ich habe halt früher zehn Jahre bei einem IT Unternehmen gearbeitet, war hier aber für die Softwarebetreuung von ERP-Systemen zuständig. Die Betriebssysteme waren da nur nebenbei ein Thema. 

 

Neue Server werden von einem externen IT Unternehmen geliefert und eingerichtet. 

 

Daher bin ich kein MCSE oder ähnliches. 

 

Nun zurück zu den Anmeldeinformationen. Wie kann ich denn überprüfen, ob die veraltet sind? Muss ich ggf. das Profil einmal neu erstellen?

[Sunny61 811]

Den Client einmal sauber neu starten, zusätzlich *VORHER* den Schnellstart deaktivieren. Erst jetzt den User einmal neu anmelden lassen. Aufgabenplanung starten und prüfen, welche Jobs als der angemeldete User hinterlegt sind.

[NilsK 2.971]

Moin,

 

ein AD-Konto sperrt sich nicht einfach so, sondern nur, wenn jemand versucht, sich mit einem falschen Kennwort anzumelden. Als erstes könntest du also mal rausfinden, bei wie vielen Fehlanmeldungen diese Schwelle in eurer Domäne liegt.

 

Da deiner Beschreibung nach die "ordentliche" Anmeldung funktioniert, der Chef also sein richtiges Kennwort kennt und eingibt, kommen typischerweise nur andere Prozesse in Frage, die mit einem falschen Kennwort eine Anmeldung versuchen. Das ist meist ein ehemaliges Kennwort, was Norbert mit "veralteten Credentials" meint (Credentials = Anmeldeinformationen). Meist sind solche Prozesse Dienste oder Anwendungen, die mit dem Konto des betreffenden Users konfiguriert sind, oder Tasks ("Geplante Aufgaben"), in denen das falsche Kennwort hinterlegt ist. Sowas bekommt man nur heraus, wenn man sich den betreffenden Rechner genauer ansieht.

 

Gruß, Nils

 

[Piranha 18]

Ich denke die EventLogs sollten dir da auch Hinweise liefern.

[DerHobbit 0]

Danke Nils, das hat mir geholfen zu verstehen was gemeint war. Ich habe nun alle Dienste sowie den Aufgabenplaner geprüft. Man bei HP-Notebooks sind da ja zig Aufgaben vom Hersteller dabei. Hier habe ich alles was in meinen Augen nicht wichtig ist deaktiviert (z. B. Onedrive) und fehlerhafte Tasks so eingestellt, dass sie laufen. Nun heißt es erst mal abwarten, ob der Fehler wieder auftritt. 

[NorbertFe 2.105]

Die Tasks solltest du ja nicht alle einfach so deaktivieren. Wichtig wären ja sowieso nur die, bei denen die Anmeldeinformationen deines Chefs hinterlegt sind.

[DerHobbit 0]

Ich hab ja auch nicht alle deaktiviert. Halt zwei von Onedrive, welches wir nicht nutzen. Aber leider hab ich keinen gefunden, der direkt meinen Chef als Benutzer samt Kennwort hinterlegt hatte. Ein paar hatten ihn als Benutzer hinterlegt, hier jedoch die Bedingung "Ausführen wenn angemeldet". Dann ist eine mögliche Kennwortänderung ja egal.