Benutzerkonto häufig gesperrt

[Blitzi 10]

Hallo,

 

habe zur Zeit das Problem, das ein bestimmtes Benutzer-Konto immer wieder ohne ersichtlichen Grund gesperrt ist.

 

Wie richte ich eine Überwachung ein um der Ursache auf die Spur zu kommen ?

Am Domänencontroller habe ich schon die Überwachungsrichtlinie für Anmeldeereignisse, -versuche auf fehlgeschlagene Versuche überwachen eingestellt.

 

Muss ich jetzt noch beim Benutzer in der ADS etwas einstellen (Sicherheit - erweitert - Überwachung) und wenn ja was ?

 

Vielen Dank für Eure Hilfe.

 

Viele Grüße

L. Brunnhuber

[Stoni 10]

was sagt denn die Ereignisanzeige am Client?

 

Stoni

[Blitzi 10]

Hallo,

 

nachdem ich mir die Ereignisanzeige des Clients nicht ansehen konnte und kein Ping möglich war, entdeckte ich, das der User die Windows-Firewall eingeschalten hatte.

 

Ich denke, das dies die Ursache für den gesperrten Account war.

[grizzly999 11]

Halte ich für ausgeschlossen. Die Firewall blockiert nichts, was rausgeht, und wenn sie es würde, gäbe es erst recht kein Grund für den DC, einen User zusperren. Wer nicht mit falschem Kennwort kommt, kann nicht gesperrt werden ;) Aber wie gesagt, raus geht sowieso alles.

 

Ist irgend ein Mapping im Benutzerprofil drin, bei dem ein altes Kennwort hinterlegt wurde?

Kommt die fehlerhafte Anmeldung auch von dem Cleint auf dem der User angemeldet ist (Log auf DC)?

Andere Logeinträge auf dem DC (z.B. Kerberos Probleme)?

Wann kommt das vor?

 

usw. usw.

 

 

grizzly999

[sturmi 10]

Hmm, ich hatte solche Probleme auch schon.

Gibt es vielleicht irgendeinen Dienst, der mit diesem User gestartet wird?

 

Bei mir stand in den DCOM-Einstellungen ein falsches Passwort, und dann macht der DC auf jeden Fall auch den Riegel zu.

 

Allerdings war das auch ein Serviceaccount, im "normalen" Umfeld kommt sowas ja eher selten vor.

[phoenixcp 10]

Vielleicht ja auch ein Anwender, dessen Kennung für andere interessant ist? Ich würde auf jeden Fall auf dem DC mal fehlgeschlagene Anmeldeversuche mitprotokollieren und dann anhand der Zeiten mal ein wenig recherchieren.

[Blitzi 10]

Hallo,

 

super, grizzly999, die Firewall wars wirklich nicht.

 

Jetzt bin ich auf eine permanente Netzlaufwerksverbindung zu einer AS400 los, welche der User eingerichtet hatte.

Hierbei wird nach einer Übereinstimmung zwischen Windows- und AS400-Konto, sprich gleicher Benutzername, gesucht. Der User hat aber mit zwei unterschiedl. Accounts gearbeitet.

Muss aber nochmal den dortigen Administrator fragen, wie sich das genau verhält, den bei einer händisch aufgerufenen Verbindung tritt das Sperren nicht auf.

 

Aber zum Thema Überwachung:

Was müsste beim User in der ADS dazu noch eingestellt werden (siehe meinen ersten Beitrag) ?

 

Vielen Dank für Eure Mithilfe.

 

L. Brunnhuber

[schradla 10]

Hi, wenns n domänenbenutzer ist über eine gruppenrichtlinie ansonsten über eine lokale richtlinie

[NeoLEX 10]

Hallo allerseits,

 

der folgende Artikel ist sicherlich hilfreich für euch:

Account Passwords and Policies

 

und besonders der Abschnitt:

Troubleshooting Account Lockout.

 

Bei uns kommt es auch recht häufig vor, dass ein Benutzer immer wieder erneut gesperrt wird. Wir benutzen dann derzeit das Tool EventCombMT.exe um die Securitylogs der Domaincontroller nach den Events 529, 644, 675, 676, und 681 abzusuchen. Dadurch können wir schonmal herausfinden, an welchem System sich der Benutzer immer sperrt. Dieses System kann man dann in Ruhe analysieren. Meistens handelt es sich um Laufwerksmappings oder um ein im IE abgelegtes Kennwort.

 

Viel Erfolg,

NeoLEX

[rakli 13]

Die brutale Methode, gib den Benutzer einen anderen Login Name.

 

Gruss

Rakli