none
Windows 2008 R2 - Event id 4625 e lock account administrator RRS feed

  • Domanda

  • Buongiorno a tutti,

    su un server virtuale Windows 2008 R2 in dominio AD, succede che random alcuni utenti di dominio, una volta collegati in RDP, eseguono il lock l'utente locale "administrator":

    An account failed to log on.

    Subject:
    Security ID: MIODOMINIO\utente01
    Account Name: lamorte
    Account Domain: MIODOMINIO
    Logon ID: 0x1d8254e1a

    Logon Type: 2

    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: administrator
    Account Domain: MIA-VM

    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xc000006d
    Sub Status: 0xc000006a

    Process Information:
    Caller Process ID: 0x23c
    Caller Process Name: C:\Windows\System32\svchost.exe

    Network Information:
    Workstation Name: MIA-VM
    Source Network Address: ::1
    Source Port: 0

    Detailed Authentication Information:
    Logon Process: seclogo
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0

    Non riesco a capire come mai l'utente di dominio una volta collegato in RDP, utilizzi l'account locale "administrator". Nei TASK Scheduler non ho nessun JOB; l'utente all'avvio non esegue nessuna operazione automatica (batch, script, etc..)

    Grazie per il supporto

    giovedì 21 novembre 2019 09:44

Tutte le risposte

  • Ciao, hum..naaaa

    un utente semplice user desktop remoto non blocca l'admin locale. C'è qualcos'altro che lo blocca..tipo qualcuno che prova ad accedere a quel server via rdp. Prova semplice. Duplica l'admin, rinominalo e disabilita l'administrator (dovrebbe già essere una procedura che fai di default, non si lascia mai l'administrator nativo attivo).

    ciao.

    A.

    giovedì 21 novembre 2019 10:35
    Moderatore
  • Buongiorno Alessandro,

    grazie per la risposta.

    Nel registro eventi di connessione RDP, non ho traccia dei tentativi di accesso con l'account locale "administrator".

    La cosa strana è che nell'evento 4625 trovo l'accesso dell'utente di dominio e contemporaneamente 

    Account For Which Logon Failed: 
    Security ID: NULL SID
    Account Name: administrator
    Account Domain: MIA-VM

    come se l'utente utilizzasse l'account "administrator" per fare cose; infatti l'evento 4625 si riferisce all'utente locale e non all'utente di dominio che si è connesso senza problemi.

    In ogni caso, lascio l'account "administrator" lock e creo un altro admin.

    Grazie ancora

    giovedì 21 novembre 2019 10:45
  • Vedi se in lock risultano altre attività. non dovrebbe più rilevare nulla.
    giovedì 21 novembre 2019 21:38
    Moderatore