none
Accounts immer wieder zwischendurch gesperrt RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen

    wir haben bei uns ab und an das Problem dass Accounts gesperrt werden.

    Dies passiert sogar manchmal waehrend der Arbeit, wenn die User bereits angemeldet sind.

    Gibt es eine Moeglichkeit, wie man an den Domaincontrollern feststellen kann (wir haben derer 2), wann der Logout stattgefunden hat und durch welches Ereignis (oder auch von wo aus der Sperrgrund kam)?

    Es sind jeweils Windows 2012 Server mit Windows 7 und Windows 8 Clients

    Vielen Dank fuer Eure Hilfe

    P.S. ich bin noch nicht so erfahren und bitte schon vorab um etwas Geduld ;-)

    Freitag, 5. September 2014 06:13
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    ich hatte das Problem auch mal und habe hierzu in unserer internen KB einen kleinen Artikel verfasst:

    - Auf Domänencontroller mit Rolle "PDC-Emulator" schalten (kann in der Kommandozeile über den Befehl netdom /query fsmo ermittelt werden)
    - "Start - Verwaltung - Ereignisanzeige" öffnen
    - Zu "Windows-Protokolle - Sicherheit" navigieren
    - Rechts auf "Aktuelles Protokoll filtern..." klicken, bei "<Alle Ereignis-IDs>" "4740" eingeben, "OK"

    Es werden nun alle Einträge für gesperrte Konten angezeigt. In der Ansicht eines Eintrags werden der Kontoname und der Aufrufcomputername angezeigt, damit sind alle notwendigen Informationen zusammengestellt. Auf dem genannten Computer kann anschließend nach der Ursache für die Sperrung geforscht werden.

    Leider bekommt man nur diese Informationen, aber nicht die eigentliche Ursache. Da musst Du dann nachforschen.
    Das kann auch diverse Ursachen haben. Ich nenne mal ein paar, die bei uns schon aufgetreten sind:
    - Ein Benutzer hat ein iPhone und musste sein Kennwort ändern, hat aber versäumt, das auch auf dem iPhone zu ändern (für Mail-Zugriff)
    - Ein IT-Kollege hat sich eigenmächtig im Autostart ein Login-Skript hinterlegt, mit dem er auf diverse Freigaben zugegriffen hat. Zwischenzeitlich wurde eines der Kennwörter für die verwendeten Benutzer geändert, aber sein Skript hatte noch das alte Kennwort.
    - Ein Kollege hat von einem anderen das Kennwort bekommen und versucht, sich im Webmail anzumelden, aber ständig das falsche Kennwort eingegeben

    Muss also nicht immer der Benutzer selbst sein, der sich aussperrt... ;-)

    Gruß
    Ben
    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 5. September 2014 08:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hiermit kannst Du ach versuchen der Sache auf den Grund zu gehen:

    http://www.microsoft.com/en-us/download/details.aspx?id=18465

    http://technet.microsoft.com/en-us/library/cc738772(WS.10).aspx

    http://blogs.technet.com/b/instan/archive/2009/09/01/troubleshooting-account-lockout-the-pss-way.aspx

    http://blogs.dirteam.com/blogs/paulbergson/archive/2012/04/23/user-account-lockout-troubleshooting.aspx http://support.microsoft.com/kb/109626/en-us

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Freitag, 5. September 2014 09:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Klasse... vielen Dank Meinolf,

    welche Event IDs. wuerden fuer Wrong Login /Password / Username in Frage kommen?

    529?

    Gruesse aus Luxembourg

    Patrick


    • Bearbeitet Odi12 Montag, 8. September 2014 09:04
    Montag, 8. September 2014 09:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Ahh habe gesehen, dass es bereit ein vorgefertigtes Szenario gibt, bzgl. Logouts etc.

    Top.... ich lasse es mal durchlaufen

    Besten Dank

    Gruss Patrick

    Montag, 8. September 2014 09:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Ahh habe gesehen, dass es bereit ein vorgefertigtes Szenario gibt, bzgl. Logouts etc.

    Top.... ich lasse es mal durchlaufen

    Besten Dank

    Gruss Patrick

    nachdem ich heute morgen einen bewussten Fehllogin produziert habe mit 3 maliger Fehleingabe des Passworts und einhergehender Sperrung des Users, habe ich das Programm durchlaufen lassen "EventCombMT".

    Ich habe Buildin Seach Option "Account Lockouts" bei beiden Domaincontrollern angewendet.

    Leider ohne Erfolg.

    Der User ist aber gesperrt, wie man hier sehen kann (Ueberprueft mit Lockoutstatus).. Hat Jemand noch Tipps? Welche Event Ids koennen es noch sein? 4740....?


    • Bearbeitet Odi12 Dienstag, 9. September 2014 06:03
    Dienstag, 9. September 2014 05:54
    |
  • Question
    Anmelden
    0
    Anmelden
    > Ich habe Buildin Seach Option "Account Lockouts" bei beiden
    > Domaincontrollern angewendet.
     
    Das funktioniert bei 2012 nicht mehr, da sich die Event-IDs geändert
    haben...
     
    > sein? 4740....?
     
    Genau.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 9. September 2014 08:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    steht so auch schon in meinem ersten Post drin... ;-)

    Unabhängig davon wirst Du im Ereignisprotokoll nie die Ursache für die Sperrung erhalten, sondern nur die Tatsache, dass... maximal erhältst Du noch die Info, von welchem System aus die Falschanmeldungen erfolgt sind. Darüber hinaus musst Du aber Forschungsarbeit betreiben und den Benutzer, sein Profil usw. überprüfen.

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 9. September 2014 09:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Unabhängig davon wirst Du im Ereignisprotokoll nie die Ursache für die Sperrung erhalten, sondern nur die Tatsache, dass... maximal erhältst Du noch die Info, von welchem System aus die Falschanmeldungen erfolgt sind. Darüber hinaus musst Du aber Forschungsarbeit betreiben und den Benutzer, sein Profil usw. überprüfen.

    Gruß

    Ben

    Hi Ben,

    ja, das ist mir durchaus bewusst gewesen, das dort nicht die Ursache der Sperrung heraus zu lesen ist.

    Mir geht es wirklich primaer erst einmal darum, WAS genau diese Sperrung provoziert.

    Ich lasse mal den Thread offen und berichte, sobald ich beim naechsten Ereignis auf was gestossen bin.

    Mich irritiert momentan einfach, dass ich auch (trotz seit 3 Wochen nicht geloeschter Event Logs) nur einen Treffer bei 4740 ID hatte und zwar bei meiner bewussten 3 maligen Falscheingabe des Passwortes zwecks Tests.

    Koennten noch andere Ids dort eine Rolle spielen?

    Gruss Patrick


    Mittwoch, 10. September 2014 06:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ist die Thematik noch aktuell?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 23. September 2014 10:48
    |