Zum Inhalt wechseln


Foto

Herausfinden auf welchem Host ein Account gesperrt wurde

Active Directory

  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 pj1986

pj1986

    Newbie

  • 7 Beiträge

 

Geschrieben 22. August 2012 - 08:20

Hallo zusammen,

ich habe folgendes Problem:

Wir betreiben eine Domäne mit zwei W2K8 R2 Standard Domänencontrollern. In dieser Domäne gibt es mehrere Benutzer die sich darüber beklagen das sich ihre Accounts in unregelmäßigen Abständen aus nicht erklärlichen Gründen sperren.

Nun würde ich gerne herausfinden auf welchem Host und zu welcher Zeit ein entsprechender Account gesperrt wurde.

Gibt es da ein Tool für und wenn ja wo bekomme ich dieses bzw. wie wird es bedient.

Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen.

Viele Grüße

pj1986

#2 wilgin

wilgin

    Member

  • 226 Beiträge

 

Geschrieben 22. August 2012 - 08:24

Hi,

such mal am DC im Sicherheits Protokoll nach EventID 4776.
Vorausgesetzt das solche Ereignisse protokolliert werden.
Wilfried

#3 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 22. August 2012 - 08:25

Hi pj1986, willkommen an Bo(a)rd, :)

schau einmal hier hinein: Account Lockout Tools

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#4 pj1986

pj1986

    Newbie

  • 7 Beiträge

 

Geschrieben 22. August 2012 - 08:31

Hi pj1986, willkommen an Bo(a)rd, :)

schau einmal hier hinein: Account Lockout Tools

Viele Grüße
olc


Erstmal vielen dank für die nette Begrüßung an Bo(a)rd :-P

Das Tool habe ich bei meiner Suche auch schon gefunden, jedoch muss ich ehrlich zugeben das ich nicht genau weiß wie ich es einstellen muss. Ich kann damit zwar herausfinden das der entsprechende Account gesperrt ist und welcher DC den Account gesperrt hat, jedoch habe ich es bis jetzt noch nicht geschafft auch eine Aussage darüber zu bekommen auf welchem Clientrechner die Fehlanmeldungen waren.

#5 pj1986

pj1986

    Newbie

  • 7 Beiträge

 

Geschrieben 22. August 2012 - 08:33

Hi,

such mal am DC im Sicherheits Protokoll nach EventID 4776.
Vorausgesetzt das solche Ereignisse protokolliert werden.


Danke für die schnelle Antwort. Ich habe gerade mal nach der EventID gefiltert, jedoch wird leider mein Testaccount den ich kurz vorher absichtlich gesperrt habe nicht angezeigt. Wo müsste ich denn die Protokollierung einstellen? Also in welcher GP?

#6 olc

olc

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 22. August 2012 - 08:50

Hi,

Kurzfassung: LockoutStatus.exe, den sperrenden DC prüfen und dort ins Eventlog schauen. ;)

Langfassung: Ein DC Deiner Umgebung sperrt den Account. Auf diesem DC ist die Information von welchem Client die Fehleingabe initiiert wurde im Security Eventlog gespeichert.

Der PDCe bekommt die Information, und loggt sie ebenfalls im Ereignisprotokoll Security, jedoch steht hier anstatt des auslösenden Clients der DC, der den Account gesperrt hat.

Du benötigst also die Information vom sperrenden DC (Lockoutstatus.exe gibt Dir diese Information sehr übersichtlich) und dort schaust Du ins Security Eventlog (die Zeit, die Du Dir anschauen mußt, siehst Du auch in Lockoutstatus.exe --> Last BadPwd).

Viele Grüße
olc
"Mit dem Wissen wächst der Zweifel." (Johann Wolfgang von Goethe)

#7 wilgin

wilgin

    Member

  • 226 Beiträge

 

Geschrieben 22. August 2012 - 08:50

Hi,

am DC ... Local Security Settings > Local Policies > Audit Policy > Audit logon event auf Failure

oder (besser) über die Default Domain Controllers Policy bei den Gruppenrichtlinien.
Wilfried

#8 pj1986

pj1986

    Newbie

  • 7 Beiträge

 

Geschrieben 22. August 2012 - 09:02

Hi,

Kurzfassung: LockoutStatus.exe, den sperrenden DC prüfen und dort ins Eventlog schauen. ;)

Langfassung: Ein DC Deiner Umgebung sperrt den Account. Auf diesem DC ist die Information von welchem Client die Fehleingabe initiiert wurde im Security Eventlog gespeichert.

Der PDCe bekommt die Information, und loggt sie ebenfalls im Ereignisprotokoll Security, jedoch steht hier anstatt des auslösenden Clients der DC, der den Account gesperrt hat.

Du benötigst also die Information vom sperrenden DC (Lockoutstatus.exe gibt Dir diese Information sehr übersichtlich) und dort schaust Du ins Security Eventlog (die Zeit, die Du Dir anschauen mußt, siehst Du auch in Lockoutstatus.exe --> Last BadPwd).

Viele Grüße
olc


Super :-) Vielen Dank. Hab meine Infos gefunden. Dank der super Beschreibung echt einfach. Man muss halt nur wissen wie :-)

#9 pj1986

pj1986

    Newbie

  • 7 Beiträge

 

Geschrieben 22. August 2012 - 09:02

Hi,

am DC ... Local Security Settings > Local Policies > Audit Policy > Audit logon event auf Failure

oder (besser) über die Default Domain Controllers Policy bei den Gruppenrichtlinien.


Hab ich gerade genauso eingestellt. Dankeschön für die schnelle Hilfe

#10 Mister_M

Mister_M

    Newbie

  • 6 Beiträge

 

Geschrieben 04. August 2015 - 11:02

Hallo zusammen,

der Beitrag ist zwar schon etwas älter, für mich aber grade sehr aktuell.

Ich versuche auch herauszufinden von welchem Computer ein Domänen-Account gesperrt (wegen PW Falscheingabe) wurde. Obwohl ich üer GPO das Audit Logon (im Deutschen: Computerkonfiguration - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien / Überwachungsrichtlinie) aktiviert habe (Anmeldeereignisse: Erfolgreich, Fehler; Anmeldeversuche: Erfolgreich, Fehler), schreibt er mir nur die erfolgreichen Logonversuche (ID 4624) in das Securitylog, nicht aber die fehlgeschlagenen. Müsste ja ID4625 sein. Da finde ich keinen einzigen Eintrag dazu.

Das Programm lockoutstatus.exe zeigt mir aber auch den DC an bei dem die fehlgeschlagenen Versuche aufgeschlagen sind.

 

Kann mir jemand sagen wo ich noch nachschauen kann wurum die fehlgeschlagenen Loginversuche nicht protokolliert werden? (Server 2008)

 

Vielen Dank

Mister_M


Bearbeitet von Mister_M, 04. August 2015 - 11:03.


#11 Sunny61

Sunny61

    Expert Member

  • 22.182 Beiträge

 

Geschrieben 04. August 2015 - 11:21

Erstell bitte einen eigenen neuen Thread. Fremde und alte Threads kapert man nicht, Danke. Steht auch so in den Regeln dieses Boards: http://www.mcseboard...ngsbedingungen/

Regel Nr. 7: Keine Overtakes
Versucht nicht Beiträge anderer Autoren mit Euren Fragen zu anderen Themen zu übernehmen. Eröffnet ggf. einen eigenen Beitrag.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 Mister_M

Mister_M

    Newbie

  • 6 Beiträge

 

Geschrieben 04. August 2015 - 11:35

OK, sorry. Hab ich übersehen...





Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory