gesperrtes Benutzerkonto

[wirtnix 10]

Hallo, mal folgende Frage, in der Suche wurde ich nicht fündig:

 

wir haben ein Benutzerkonto, das mehrere User benutzen dürfen, die rechte sind sehr eingeschränkt, bisher kein Problem damit.

 

in letzter Zeit passiert es, daß das Konto gesperrt ist, allerhöchstwahrscheinlich, weil jemand das Passwort zu oft falsch eingegeben hat. Nun kann ich beim besten willen nicht herausfinden, von welchem PC aus und wann das geschehen ist.

 

auf dem AD-Server ist kein Eintrag im sicherheitsprotokoll darüber zu finden.:suspect:

[NinjaGubler 10]

technisch kannst du nicht rausfinden ,wer am pc sitzt. im sicherheitsprotokoll auf dem DC sollte ersichtlich sein, warum das konto gesperrt wurde

[wirtnix 10]

nö, eben nicht. das ist mein problem.

[Operator 10]

Gibt es vielleicht mehrere DC's und Du schaust nur ein ein Sicherheits-Log statt in alle?

 

Andre

[wirtnix 10]

wir haben 2 DCs und auf keinem wurde ein Anmeldefehler protokolliert.

 

kann es evtl. sein, dass es gar nicht an falschen passwörtern liegt?

 

kann eine aktion eines users daran liegen?

also wiederholter versuchter unberechtigter Zugriff auf dateien usw.?

 

wenn ja, wo isn dann das protokolliert? auf dem server auf dem die objekte liegen?

[NetSpider 10]

Sind in der Gruppenrichtline für DC's die Protokollierungen für Fehlgeschlagene Anmeldungen aktiviert?

[blub 115]

sowas passiert gerne, wenn ein Useraccount zusätzlich für Dienste missbraucht wird. Der User ändert irgendwann sein PW, der Dienst läuft mit dem alten PW weiter.

Das von Netspider vorgeschlagene erweiterte Auditing sollte die Lösung bringen.

 

cu

blub

[Kolath 10]

passiert auch ganz gut in dem falle, dass ein user 24-7-365 angemeldet ist und dann sein passwort abläuft...

[wirtnix 10]

danke für die vorschläge, ich teste das mal durch.