Client mit fehlerhafter Authentifizierung identifizieren - Account lockout

[HerrPaschulke 10]

Hallo liebe Board-Kollegen,

 

ich habe einen Anwender dessen Active Directory Account immer wieder in zyklischen Abständen gelockt wird. Wir sind nun schon mit ihm seit zwei Tagen dran das Geräte ausfindig zu machen. Privates und geschäfliches Smartphone schon gecheckt mit Flugmodus etc. das war es nicht. Sein Business-Computer ist es auch nicht.

Mit den Account Lockout and Management Tools (http://technet.microsoft.com/en-us/library/cc738772%28WS.10%29.aspx) sehen wir dass das LastBadPassword immer an den zwei gleichen DCs ankommt (Zentrale).

 

Wie kann man so ein Gerät identifizieren?

 

Ich dachte da an das netlogon logging, bin mir aber nicht sich, da ich es mit den hier beschriebnen fix it (http://support.microsoft.com/kb/109626/de) nicht hinbekomme würde ich den manuellen Weg gehen aber da muss der netlogon Dienst neu gestartet werden. Hat das Auswirkungen auf die Anwender? Müssen die sich irgendwie neu anmelden? Ist das der richtige Weg um das herauszufinden?

 

 

[daabm 1.185]

Auditing: "Account Lockout" aktivieren, dann wird das auf den DCs im Security Eventlog wunderbar protokolliert. Und vom Neustart des Netlogon auf einem DC wird kein User etwas mitbekommen. Einfach machen :cool:

[NorbertFe 1.805]

Kann ich bestätigen, da ich das am Montag auch grad durch hab, allerdings mußte ich keine DIenste neustarten, das ging einfach. Kollege mußte ja unbedingt seine Credentials im Cisco UM eintragen, das dann die User aus dem SharePoint gesaugt hat. ;) Fürs nächste Mal hab ich ihm 50€ Bierkosten angedroht.

[daabm 1.185]

Bei den Bierkosten fällt mir nur die Vollbit-Verschlüsselung ein - 256 Bit :jau: