Hallo zusammen,
wir haben aktuell das Problem, dass durchgehend mehrere Domainuser auf unserem Domaincontroller (Windows Server 2012 R2) gesperrt werden.
Die Richtlinien für die Accountsperrung sind wie folgt:
Kennwortsperrungsschwelle: 10 ungültige Anmeldeversuche
Zurücksetzungsdauer des Kontosperrungszählers: 10 Minuten
In der Ereignisanzeige des Sicherheitsprotokolls steht nur folgender Eintrag:
Ein Benutzerkonto wurde gesperrt.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: DC1$
Kontodomäne: PROMATIS
Anmelde-ID: 0x3E7
Gesperrtes Konto:
Sicherheits-ID: PROMATIS\domainuser
Kontoname: domainuser
Weitere Informationen:
Aufrufcomputername:
Da der Aufrufcomputer immer leer ist, wissen wir aktuell nicht von wo aus das falsche Passwort eingegeben wird.
Lokal an dem Rechner des Mitarbeiters wurde bereits geprüft:
http://msexchangeguru.com/2012/03/08/ad-lockout/
Punkt 1 und 2 trefen bei uns nicht zu, da Google für Emails verwendet wird.
Punkt 3
Die Browser wurden überprüft und alle Anmeldedaten gelöscht.
Punkt 4
Es gab keine gespeicherten Anmeldedaten.
Punkt 5
Die Anmeldedaten wurden gelöscht.
Punkt 6
Wurde noch nicht getestet.
Zusätzlich:
Aufgabenplanung von Windows - leer
Pausierte VM - nicht vorhanden
Auf dem Domaincontroller wurde geprüft:
http://msexchangeguru.com/2012/03/08/ad-lockout/
Das Microsoft Lockout Status Tool wurde auf unserem Domaincontroller eingerichtet.
Wenn die .csv aus der netlogon.log generiert wird, werden sehr viele Einträge mit:
06/09 ,09:31:51,SamLogon: Network logon,PROMATIS\domainuser,,0xC000006A
angezeigt. Nur kommen wir hier aktuell nicht weiter.
Der Domainuser wird auf dem Computer bei uns für folgende Aktionen verwendet:
Computeranmeldung
SVN
Wiki
OpenVPN
WLAN (übernimmt automatisch das aktuelle Passwort des Domainusers)
Telefonsoftware (übernimmt automatisch das aktuelle Passwort des Domainusers)
Netzlaufwerk (werden automatisch über den Domaincontroller gemappt)
Drucker (werden automatisch über den Domaincontroller gemappt)
Auf den Smartphones wird der Domainuser nur für das WLAN genutzt.
wir haben aktuell das Problem, dass durchgehend mehrere Domainuser auf unserem Domaincontroller (Windows Server 2012 R2) gesperrt werden.
Die Richtlinien für die Accountsperrung sind wie folgt:
Kennwortsperrungsschwelle: 10 ungültige Anmeldeversuche
Zurücksetzungsdauer des Kontosperrungszählers: 10 Minuten
In der Ereignisanzeige des Sicherheitsprotokolls steht nur folgender Eintrag:
Ein Benutzerkonto wurde gesperrt.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: DC1$
Kontodomäne: PROMATIS
Anmelde-ID: 0x3E7
Gesperrtes Konto:
Sicherheits-ID: PROMATIS\domainuser
Kontoname: domainuser
Weitere Informationen:
Aufrufcomputername:
Da der Aufrufcomputer immer leer ist, wissen wir aktuell nicht von wo aus das falsche Passwort eingegeben wird.
Lokal an dem Rechner des Mitarbeiters wurde bereits geprüft:
http://msexchangeguru.com/2012/03/08/ad-lockout/
Punkt 1 und 2 trefen bei uns nicht zu, da Google für Emails verwendet wird.
Punkt 3
Die Browser wurden überprüft und alle Anmeldedaten gelöscht.
Punkt 4
Es gab keine gespeicherten Anmeldedaten.
Punkt 5
Die Anmeldedaten wurden gelöscht.
Punkt 6
Wurde noch nicht getestet.
Zusätzlich:
Aufgabenplanung von Windows - leer
Pausierte VM - nicht vorhanden
Auf dem Domaincontroller wurde geprüft:
http://msexchangeguru.com/2012/03/08/ad-lockout/
Das Microsoft Lockout Status Tool wurde auf unserem Domaincontroller eingerichtet.
Wenn die .csv aus der netlogon.log generiert wird, werden sehr viele Einträge mit:
06/09 ,09:31:51,SamLogon: Network logon,PROMATIS\domainuser,,0xC000006A
angezeigt. Nur kommen wir hier aktuell nicht weiter.
Der Domainuser wird auf dem Computer bei uns für folgende Aktionen verwendet:
Computeranmeldung
SVN
Wiki
OpenVPN
WLAN (übernimmt automatisch das aktuelle Passwort des Domainusers)
Telefonsoftware (übernimmt automatisch das aktuelle Passwort des Domainusers)
Netzlaufwerk (werden automatisch über den Domaincontroller gemappt)
Drucker (werden automatisch über den Domaincontroller gemappt)
Auf den Smartphones wird der Domainuser nur für das WLAN genutzt.