Ändern des Administratorkennwortes veruhrsacht Clientfehler

[Notarzt 10]

Hi Leute,

Ich habe hier eine Win2k3-R2-Domäne mit ca. 70 Clients. Seit ich das Kennwort vom Domainadmin geändert habe, bekommen zwei(oder mehr?) XP-Clients komische Fehlermeldungen beim Starten("LsaSrv"-Ereignisseinträge), der Synchronisierung von Servergespeicherten profilen(Zugriff verweigert od. falscher Benutzername oder Kennwort) und der Synchronisierung von Offlinedateien(Zugriff verweigert od. Falscher Benutzername oder Kennwort).

 

Domain aus- und eintritt hat nichts gebracht. Die Benutzer haben keine Admin-Rechte.

Einer von den Benutzern war früher ein Domain-Administrator(bzw. sein Benutzername hatte die Domainadmin-Rechte). Nachdem ich den Domain-Administrator wieder sein altes Kennwort gab, hatte der Benutzer keine Login- und Freigaben-Probleme mehr, aber er hatte (wieder) Vollzugriff auf die ganze Domain obwohl sein Benutzer keine DomainAdmin-Rechte hat! ???

 

Zum zweiten Client: Wie kann es sein das der Domainadmin irgendwas mit Clientrechten zu tun hat?

 

Sehr Suspekt das ganze...

 

Danke!

[NilsK 3.046]

Moin,

 

laufen auf den Clients irgendwelche Dienste mit dem Dom-Admin-Konto, dessen Kennwort du geändert hast? Virenscanner oder so?

 

Gruß, Nils

[Notarzt 10]

Nein, da laufen keine Dienste mit DomainAdmin-Konto.

 

Weitere Tips?

 

LG

[rakli 13]

Wie sieht das event log aus?

 

Rakli

[NilsK 3.046]

Moin,

 

Nein, da laufen keine Dienste mit DomainAdmin-Konto.

 

geprüft oder nur vermutet? Auch Tasks usw. beachten.

 

Malware kannst du ausschließen?

 

Gruß, Nils

[Notarzt 10]

Malware kann ich auschliessen. Dienste sind auch geprüft.

 

2x SECURITY-LOG vom DC:

----------------

EREIGNISS 529:

Fehlgeschlagene Anmeldung:
	Grund:		Unbekannter Benutzername oder falsches Kennwort
	Benutzername:	administrator
	Domäne:		********
	Anmeldetyp:	3
	Anmeldevorgang:	NtLmSsp 
	Authentifizierungspaket:	NTLM
	Name der Arbeitsstation:	SLS-SUS
	Aufruferbenutzername:	-
	Aufruferdomäne:	-
	Aufruferanmeldekennung:	-
	Aufruferprozesskennung:	-
	Übertragene Dienste:	-
	Quellnetzwerkadresse:	192.168.10.103
	Quellport:	0

 

 

-----------------------------------------------------------

EREIGNISS 680:

Anmeldversuch von:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto:	administrator
Arbeitsstation:	SLS-SUS
Fehlercode:	0xC000006A

---------------------------------------

 

Ich glaube die zwischengespeicherten AdminPassword-Hashes werden von den Clientmaschinen irgendwie missbraucht, den sobald ich den Admin sein altes Kennwort gebe, funktioniert alles einwandfrei.

 

Wie lösche ich am besten alle zwischengespeicherten Kennwörter?

 

LG

[grizzly999 11]

Cached Credentials sind dafür nicht verantwortlich. Die werden nur bei Offline

-Anmeldungen benutzt und sind nur für lokalen Zugriff gültig, nicht für Netzwerkzugriff.

Am ehesten wäre es denkbar, dass irgendwelche Zugriffe in Verbindung mit einem Benutzername\Kennwort gespeichert wurden, z.B. in Anmeldeskripts oder Laufwerkmappings aus dem Explorer heraus mit Name\kennwort und dem Häkchen "Bei der nächsten Anmeldung erneut verbinden".

 

Hats du beim angemeldeten Benutzer in der Benutzerkontevewaltung in der Systemsteuerung und "Netzkennwörter verwalten" schon reingeschaut?

 

grizzly999

[Notarzt 10]

Hi Grizzly,

Bereits geschaut, unter "Netzwerkkenwörter verwalten" ist leider nichts.

 

Client2 hatte scheinbar tatsächlich das AdminKennwort für die Freigaben zwischengespeichert. Dies wurde nun gelöst.

 

Was mich verwirrt ist folgendes:

Client2 hat ein Servergespeichertes Benutzerprofil, und beim Abmelden bekommt er die Meldung "Ihr Servergespeichertes Profil konnte nicht gespeichert werden. - Unbekannter Benutzername oder Kennwort".

 

Eine Idee?

 

LG