andrewo 10 Geschrieben 2. November 2015 Melden Teilen Geschrieben 2. November 2015 Hallo an alle, unsere beiden DC´s sind w2k8 r2 mit aktuellem Patchstand. Sind weitere Informationen dazu nötig? Wir hatten die letzten Tage einen immer wieder gesperrten Account. Letztendlich haben wir ihn erst einmal umbenannt weil wir erst einmal nicht gefunden haben woher die Sperre kam. Im Ereignislog/Sicherheit auf den beiden DC´s gab es keine aktuellen Einträge für Event ID 4740 (die letzten waren von 2013). Nach einigem schlaugooglen habe ich in der DDCP diese Einstellungen gesetzt: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie Anmeldeereignisse überwachen=Fehler Anmeldeversuche überwachen=Fehler Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen Überwachung: Überschreiben der Einstellungen für Kategorie-Überwachungsrichtlinien durch die Einstellungen für Unterkategorie-Überwachungsrichtlinien (Windows Vista oder höher) erzwingen=Aktiviert und unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Anmelde/Abmelden Anmelden=Erfolg und Fehler Kontosperrung=Erfolg Danach sehe ich ID 4624 und 4648 aber 4740 taucht im Ereigislog einfach nicht auf. Ich habe einen Testuser über rdp an einem unserer Terminalserver falsch angemeldet, der Account wird gesperrt aber nichts ist im log. Testweise habe ich unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Anmelde/Abmelden Kontosperrung überwachen=Erfolg gesetzt. Den gesperrten Testuser versucht anzumelden aber auch das sehe ich nicht im log. Inzwischen bin ich wirklich ratlos. Was kann ich noch tun bzw. was mache ich falsch? schöne Grüße André Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 2. November 2015 Melden Teilen Geschrieben 2. November 2015 Die beteiligten DCs haben die neuen Einstellungen übernommen? Neustart der beiden DCs ausgeführt? Du hast in allen beteiligten DCs nach den Fehlermeldungen gesucht? Zitieren Link zu diesem Kommentar
Beste Lösung andrewo 10 Geschrieben 3. November 2015 Autor Beste Lösung Melden Teilen Geschrieben 3. November 2015 Ja, habe auf beide DCs ein gpupdate gemacht und über auditpol geprüft: C:\>auditpol.exe /get /category:*SystemüberwachungsrichtlinieKategorie/Unterkategorie EinstellungAn-/Abmeldung Anmelden Erfolg und Fehler Abmelden Keine Überwachung Kontosperrung Erfolg IPsec-Hauptmodus Keine Überwachung Vorher stand da bei An-Abmelden Keine Überwachung und im Log waren auch keine Event ID 4624 und 4648 zu sehen. Die waren nach der Änderung dann wenigstens da. Neu gestartet habe ich sie nicht, kann ich erst am Wochenende. Habe es inzwischen gefunden, lag an folgenen Einstellungen die nicht konfiguriert waren und jetzt so gesetzt sind: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie Kontenverwaltung überwachen= Erfolg, Fehler Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Kontenverwaltung Benutzerkontenverwaltung überwachen=Erfolg, Fehler Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 3. November 2015 Melden Teilen Geschrieben 3. November 2015 Freut mich für dich und Danke für die Rückmeldung. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.