none
Benutzer Konto gesperrt - suche Tool RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo alle zusammen,

    wir haben ein lästiges Problem. Bei einem Kollegen ist jeden Morgen das Konto gesperrt. Handy Mobil Sync haben wir gestern deaktiviert (so ein Phänomen hatte ich schon einmal erlebt).

    Er meldet sich immer korrekt ab und arbeitete gestern nur auf einem PC. Der Benutzer war heute wieder gesperrt. Eigentlich unmöglich herauszufinden wodurch der Account ständig gesperrt wird. Aber vielleicht hat jemand noch eine Idee bevor wir den PC neu aufsetzen und auch das Profil löschen? Vielleicht gibt es auch Tools um damit man erkennt von welcher Anwendung oder PC das Kennwort mehrfach falsch eingegeben/übernommen wird. Könnte ja z.b. ein alter Schedule Task auch sein... aber das zu finden da fällt uns nichts mehr ein.

    Chris
    Mittwoch, 15. Juni 2011 07:40
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Der Benutzer war heute wieder gesperrt. Eigentlich unmöglich
    > herauszufinden wodurch der Account ständig gesperrt wird. Aber
     
    Nein, eigentlich ganz einfach ;-)
     
    Security Eventlogs der Domaincontroller prüfen, Event-ID 539/644
     
     
    mfg Martin
     
    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert -- Chris -- Donnerstag, 16. Juni 2011 07:07
    Mittwoch, 15. Juni 2011 08:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist du dir sicher, dass der Account von einem gewissen Rechner aus gesperrt wird?
    Es handelt sich um einen Domänenbenutzer?

    Wenn ja, welche Eventlogs tauchen am DC auf? (http://technet.microsoft.com/de-de/library/cc776964(WS.10).aspx)

    http://technet.microsoft.com/en-us/library/cc738772(WS.10).aspx

     

     

    • Als Antwort markiert -- Chris -- Donnerstag, 16. Juni 2011 07:08
    Mittwoch, 15. Juni 2011 08:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Matthias, Hallo Martin,

     

    danke für beide Tips. Ich habe noch zusätzlich am Client (zum Glück ein Win7, das noch besser protokolliert) einen viel interessanteren Hinweis im Security Eventlog gefunden, der vermutlich (*.exe gelöscht - morgen wissen wir mehr) die Lösung des Problems ist.

     

    Anmeldeversuch mit expliziten Anmeldeinformationen.

    Antragsteller:
     Sicherheits-ID:  firmaxy\abc
     Kontoname:  abc
     Kontodomäne:  firmaxy
     Anmelde-ID:  0x378341
     Anmelde-GUID:  {0b3bb6ab-1e77-722f-95f-d44965d3ba11}

    Konto, dessen Anmeldeinformationen verwendet wurden:
     Kontoname:  abc
     Kontodomäne:  
     Anmelde-GUID:  {00000000-0000-0000-0000-000000000000}

    Zielserver:
     Zielservername: isa.firma.de
     Weitere Informationen: isa.firma.de

    Prozessinformationen:
     Prozess-ID:  0x7e3
     Prozessname:  C:\Users\TEMP~1.firma\AppData\Local\Temp\TeamViewer\Version6\TeamViewer.exe

    Netzwerkinformationen:
     Netzwerkadresse: -
     Port:   -

    Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die
    Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen,
    z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.

     

    Chris
    Donnerstag, 16. Juni 2011 07:13
    |