Deuten von Ereignis-ID 644

[Ritschi2 10]

Hi!

 

Kann mir jemand erklären wie man folgendes Ereignis richtig deutet, habe schon gegoogelt, aber dort finde ich immer nur allgemeine Infos zur Ereignis-ID 644:

 

 

Gesperrtes Benutzerkonto:
	Zielkontoname:	Administrator
	Zieldomäne:	FBL4
	Aufrufercomputername:	DOMÄNE\administrator
	Aufruferbenutzername:	DC1$
	Aufruferdomäne:	DOMÄNE
	Aufruferanmeldekennung:	(0x0,0x3E7)

 

Außerdem stand da noch:

Kategorie: Kontenverw.

Typ: Erfolgsüberwachung

Ereignis-ID: 644

Benutzer: NT-Autorität\System

Computer: DC1

 

 

Wie habe ich das ganze jetzt zu vertehen?

Hat jemand versucht sich an dem PC "FBL4" mit Administrator anzumelden?

 

Ich glaube eher nicht, da ich keinen Eintrag mit Ereignis-ID 675 finden kann, denn damit werden alle Fehlerüberwachungen bez. Anmeldeversuche mitgeloggt und ich kann nichts finden, dass jem. versucht hätte sich an dem PC FBL4 mit dem Konto Administrator einzuloggen.

 

Wieso eigentlich Zieldomäne FBL4?? Das ist nen normaler Client hier in der Domäne.

"Aufrufercomputername: DOMÄNE\administrator":

Einen Computer namens Administrator gibts auch nicht? Irgendwie verwirrt mich das ganze ein bisschen...

 

Hoffe jem. kann mir weiterhelfen, Danke!

 

 

cu

[Dr.Melzer 191]

Check this:

 

http://www.eventid.net/display.asp?eventid=644

[Ritschi2 10]

hi!

 

danke für den tip, dort ist wenigstens jeder einzelne punkt beschrieben

 

Caller Machine Name - the computer from which the logon was attempted

Aufrufercomputername:	DOMÄNE\administrator

 

 

trotzdem sagt mir dieses hier nicht wirklich viel, domäne\administrator ist niemals ein Computer!

 

aber ich glaube auch, dass ich die Ursache gefunden habe, auf dem Rechner war ein Task der unter domäne\administrator läuft, und das passwort wurde zwischenzeitlich mal geändert vom administrator, sodass der Task aber immer noch mit dem alten Pass ausgeführt wird.

 

cu