crazymetzel 11 Geschrieben 9. November 2015 Melden Teilen Geschrieben 9. November 2015 Hallo Wir haben hier eine merkwürdige Begebenheit. Wir haben einen User, dessen Kennwort laut Protokoll am Samstag Abend 22 Uhr geändert wurde. Dieser User konnte sich heute morgen nicht anmelden, weil ihm das Kennwort nicht bekannt war. Er war auch nachweislich zu dieser zeit nicht vor ort. er hat in der Domäne für sein Konto Anmelderechte für die beiden AD-Server, seinen eigenen Rechner und den Exchange Server. Ansonsten hat er noch Webmail Zugriff. Dort hat er aber nach eigener Aussage das Kennwort nicht geändert. Ansonsten sind keinerlei RDP Zugänge oder VPN Zugänge für diesen User freigeschaltet. Auch ist beim Kennwort aktiviert "läuft nie ab". Also auch ein Ablauf des Kennworts kann ausgeschlossen werden. Wo kann ich schauen auf welchem Weg, AD oder Webmail oder sonstwas das Kennwort geändert wurde? Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 9. November 2015 Melden Teilen Geschrieben 9. November 2015 Moin, abhängig davon, wie eure Überwachung konfiguriert ist, kannst du evtl. die IP-Adresse oder den Namen des Rechners im Eventlog ausfindig machen, der die Änderung angefordert hat. Wenn das nicht aufgezeichnet wurde ... dann nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 9. November 2015 Melden Teilen Geschrieben 9. November 2015 Hallo er hat in der Domäne für sein Konto Anmelderechte für die beiden AD-Server, seinen eigenen Rechner und den Exchange Server. Ansonsten hat er noch Webmail Zugriff. d.h. das Konto hat Domain Admin, lokale AdminRechte, Exchange Admin Rechte, wird für Webmail und sicherlich auch zum Surfen genutzt? Dann fände ich das Verhalten gar nicht so merkwürdig. Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 10. November 2015 Autor Melden Teilen Geschrieben 10. November 2015 Nein, Er kann sich mit seinem Passwort und Useraccount gegen den AD authentifizieren bzw daran anmelden. Adminrechte hat er natürlich in keiner Weise. Ich meinte an der stelle wo du einstellemn kannst an welchem Rechner sich dieser User anmelden darf, in den AD-Kontoeinstellungen, dort sind genannte Rechner + seine eigene Station aufgeführt. Steht dort Beispielsweise der Exchange nicht drin hat er keinen Exchange Zugriff von seinem Rechner aus. Standardeinstellung ist dort ja dass er sich an alle Rechner in der AD anmelden darf. Dies schränken wir ein auf AD-Server, Exchange und eigene Arbeitsstation. Zitieren Link zu diesem Kommentar
NorbertFe 1.821 Geschrieben 10. November 2015 Melden Teilen Geschrieben 10. November 2015 Die Funktion ist aber auch nicht so zuverlässig afair. Also wenn ihr das wirklich ernst meint, definiert ihr das per Security Policy. Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 10. November 2015 Autor Melden Teilen Geschrieben 10. November 2015 Das ist eigentlich nur um die Leute davon abzuhalten wenn Kollege A Urlaub hat sich an diesem Rechner anzumelden weil er nen schöneren Monitor hat als ich selbst. Gerade im CAD Bereich hat das genervt, weil bei erstmaliger Anmeldung Skripte für Pfadanpassungen laufen welche Userbezogen sind. Diese haben die User immer schön abgebrochen und sich dann gewundert warum nichts stimmt. Daher die Sperre. Nicht wirklich als Security Police.... Zu Nils, ich habe hier wissentlich nichts aktiviert. Sollte es per default deaktiviert sein, so ist es das auch heute wohl noch. Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 20. November 2015 Melden Teilen Geschrieben 20. November 2015 Hi, in welchem Protokoll siehst du, daß das Kennwort geändert wurde? Und wie sehen die Protokolleinträge genau aus? lg D. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.