Tappi 10 Geschrieben 14. Juni 2022 Melden Teilen Geschrieben 14. Juni 2022 Guten Morgen Zusammen, Ich habe hier ein "Lustiges" Problem, was ich bisher auch noch nie hatte und komme leider nicht mehr weiter, entsprechend hoffe ich, dass vllt einer von euch eine Idee hat :) Wir haben hier 3 AD-Server, einer virtuell und 2 physisch. Alle W2012R2... Aus gegebenen Anlass, haben wir das Administrator Passwort geändert. Da hier leider nichts dokumentiert ist, war von Anfang an klar, dass wir vorab nicht alle Logins gefunden haben, bei denen die alten Admin Logins benutzt wurden... Nun konnten wir es schon recht gut einschränken und anstatt ~150 Anmeldungen die Minute, auf 2 versuchte Anmeldungen reduzieren. Problem was wir haben, es wird einfach nichts im Log angezeigt. Wenn sich ein Client Fehlerhaft anmeldet, sehe ich auf dem AD Log und Sicherheit, den Client Namen und die IP Adresse. Für den Administrator sehe ich es einfach nicht... Folgende Einstellungen haben wir Domain weit, vorläufig, aktiviert: Richtlinie Einstellung Anmeldeereignisse überwachen Erfolgreich, Gescheitert Anmeldeversuche überwachen Erfolgreich, Gescheitert Kontenverwaltung überwachen Erfolgreich, Gescheitert Objektzugriffsversuche überwachen Fehler Prozessverfolgung überwachen Fehler Rechteverwendung überwachen Fehler Richtlinienänderungen überwachen Fehler Systemereignisse überwachen Fehler Verzeichnisdienstzugriff überwachen Fehler Sehr komisch, der Administrator account ist gesperrt, aber ein Einloggen (mit dem neuen Passwort), unter anderem auf einem der AD Server, ist immer noch möglich? Wie kann das sein? Hatte ich bisher auch noch nicht... Jemand vllt noch eine Idee wo wir schauen können bzw. was wir Einstellen müssen um vllt doch noch die IP des Verursachers sehen zu können? Wir sind schon alle Dienste, Tasks und nicht geschlossene Sitzungen durch gegangen. LDAP Verbindungen werden auch gerade noch mal überprüft, aber irgendwo scheint es sich tief versteckt zu haben... Vorab schon mal, vielen Dank fürs lesen :) VG Tappi Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 14. Juni 2022 Melden Teilen Geschrieben 14. Juni 2022 vor 8 Minuten schrieb Tappi: Sehr komisch, der Administrator account ist gesperrt, aber ein Einloggen (mit dem neuen Passwort), unter anderem auf einem der AD Server, ist immer noch möglich? Wie kann das sein? Hatte ich bisher auch noch nicht... Der Built-In Admin wird nicht gesperrt. Wäre fatal, ginge das. Aus genau dem Grund soll man mit dem auch nicht arbeiten. ;) Du kannst das auch mit dem Netlogon.log versuchen. Evtl. sieht man da ein wenig mehr. http://realit1.blogspot.com/2012/04/troubleshooting-active-directory.html Zitieren Link zu diesem Kommentar
Tappi 10 Geschrieben 14. Juni 2022 Autor Melden Teilen Geschrieben 14. Juni 2022 ah ok, dann wieder was dazu gelernt, danke dir :) Ich schau mir mal den Link an :) ok, erstmal danke. auch wenn mir auch nichts angezeigt wird, ist mir dadurch folgendes Aufgefallen: Sobald ich eine Anwendung "Als Administrator" Starte, geht der Zähle unter "Bad Pwd Count" hoch (Lookout tool). Hab das nun paar mal getestet und jedesmal schön mit anzusehen, oder es war nur zufall... Zitieren Link zu diesem Kommentar
Beste Lösung Tappi 10 Geschrieben 14. Juni 2022 Autor Beste Lösung Melden Teilen Geschrieben 14. Juni 2022 ok, das mit dem Run As war einfach nur einer Zufall, aber so wie es ausschaut, das Problem gefunden :) Danke euch! Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 14. Juni 2022 Melden Teilen Geschrieben 14. Juni 2022 vor 1 Stunde schrieb Tappi: Lookout tool) Na dann gut Ausschau halten. ;) 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.