Jump to content

User-Konto wird gesperrt?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

habe hier etwas, was ich mir nicht erklären kann. Vielleicht Ihr?

 

Habe mehrere SQL Server. Diese SQL-Server senden mir täglich Berichte - ob Backup gut/schlecht. Der User der hierfür verwendet wird nennt sich: "r-sql-mail".

Nun habe ich einen Anruf bekommen dass dieser User gesperrt wurde (automatisch). Also habe ich ihn wieder entsperrt. Ein Tag später, wieder gesperrt.

 

Komischerweise habe ich auch in der Zeit, wo dieser User gesperrt war, meine Benachrichtigungsmails bekommen.

Komischerweise ist auf keinem Domaincontroller ein Sperreintrag verzeichnet. Habe nach Source=SAM gesucht (im System-Log). Auch zu den Zeitpunkten, an denen die Backups laufen und somit die Mails verschickt werden, sind keine Sperreinträge vorhanden.

Der System Center Operations Manager, der normalerweise über eine Sperrung eines Accounts berichtet, merkt auch nichts.

 

ABER: wenn ich mich mit diesem account r-sql-mail irgendwo (clients) einloggen möchte, dann erhalte ich die Meldung dass mein Account gesperrt wurde.

 

 

Meine Aufgabe: Ich müsste irgendwo einen Sperreintrag finden, um nachvollziehen zu können welcher Server die Sperrung verursacht.

 

Habt ihr ne Ahnung wo bzw. unter was ich diesen Eintrag finden könnte? ;)

 

Danke und Grüße

Link to comment

Hi,

 

schau Dir einmal das Tool EventCombMT an, damit kannst Du recht komfortabel nach den entsprechenden EventIDs auf den DCs suchen. Damit sollte dann auch eine Eingrenzung auf die Client-Maschine möglich sein, von der aus der Account gesperrt wurde.

 

Und es ist ganz sicher eine Sperrung (also Account Lockout) und keine Deaktivierung?

 

Viele Grüße

olc

Link to comment

Hi Nils,

 

in kleineren Umgebungen funktioniert das Tool zumindest meiner Erfahrung nach recht gut. Aber Du hast in jedem Fall Recht, der LogParser ist da eine ganz andere "Marke".

Ich dachte nur, daß das in diesem Fall eher als "overkill" erscheint. ;)

 

Alternativ kann man "quick and dirty" auch das unten genannte Batch-Script nutzen: Aktives Verzeichnis Blog : Grundsätzliche Informationen zum Security Event Logging / Auditing

 

Viele Wege und Rom usw. ;)

 

Viele Grüße

olc

Link to comment

Moin,

 

ich hatte schon beim Versuch, die Eventlogs einer 10-DC-Umgebung auszuwerten, gravierende Fehler im EventComb festgestellt. Da wurden Events plötzlich dem falschen Server zugeordnet oder passten in der Zeit nicht - so Kram, der das Ganze schon ziemlich nutzlos machte. (Nebenbei führte das zu meiner Event-Reporting-Lösung, die ich kürzlich dann endlich auf faq-o-matic.net veröffentlicht habe.)

 

Eigentlich ist EventComb schön, nur habe ich seither kein rechtes Vertrauen mehr dazu ...

 

Gruß, Nils

Link to comment

hallo zusammen,

 

vielen Dank für die vorschläge.

 

da wir auch mehrere DCs und an die 7000 Clients in der Domäne haben, werde ich wohl zu dem tool für größere umgebungen gehen.

 

Und es ist ganz sicher eine Sperrung (also Account Lockout) und keine Deaktivierung?

 

****e frage. gibt es denn eine automatische deaktivierung?

nebenbei: der account läuft nicht aus und dessen passwort auch nicht

Link to comment

Hi,

 

da wir auch mehrere DCs und an die 7000 Clients in der Domäne haben, werde ich wohl zu dem tool für größere umgebungen gehen.

 

Wie viele DCs habt Ihr denn genau? Denn auf den DC würden Kontensperrungen geloggt werden. Bedenke dabei, daß der LogParser etwas Einarbeitungsaufwand benötigt.

 

Zusätzlich bieten natürlich größere Lösungen komfortablere Wege, so etwa SCOM mit den Audit Collection Services.

 

gibt es denn eine automatische deaktivierung?

nebenbei: der account läuft nicht aus und dessen passwort auch nicht

 

"Automatische Deaktivierung" ist relativ. Ich persönlich sehe sehr oft Scripte, die das übernehmen. Oftmals weiß die eine Hand nicht, was die andere tut...

 

was hast du denn in der Default Domain Policy definiert bezgl Kennwörter und Kennwortrichtlinien ?

 

Guter Einwurf, wenn es 5 ungültige Anmeldeversuche bis zur Sperrung sind, können wir eigentlich an dieser Stelle hier aufhören. :D

 

Viele Grüße

olc

Link to comment

Moin,

 

übrigens gibt die neue Version 3.0 von José (gerade in Beta 1) nun auch die Konten- und Kennwortrichtlinien der Domäne aus. Wenn man dann noch bei den Usern die Kontenattribute anzeigen lässt, sollte man die Umstände schon ziemlich klar haben.

 

Was dann noch bleibt, ist das Recherchieren der tatsächlichen Sperrung. (Übrigens wird es sich um eine Sperrung handeln, nicht um eine Deaktivierung; das ist ein Unterschied.)

 

.: www.kaczenski.de :. José 3.0: Öffentliche Betaphase

 

Gruß, Nils

Link to comment

Hi,

 

nur noch als Zusatz: Für HOCHsicherheitsumgebungen empfiehlt Microsoft mindestens 10 Anmeldeversuche. Im Normalfall 20 - 50, je nachdem, ob ein Monitoring erfolgt oder nicht.

 

Bei 5 DCs kannst Du wie angesprochen neben dem LogParser problemlos auch die PowerShell, die im Blog genannte Batch-Variante oder den EventCombMT nutzen (sofern dieser bei Dir keine Probleme verursacht, wie von Nils beschrieben).

 

Wie angesprochen solltest Du explizit prüfen, ob die Konten gesperrt oder deaktiviert sind.

 

Viele Grüße

olc

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...