Ik heb een eigenaardig probleem waar ik niet weet hoe ik de oplossing voor kan vinden...
Ik heb 1 enkele gebruiker waarvan de useraccount in ons Active Directory domain die om de haverklap "gelocked" wordt, zonder dat die gebruiker iets speciaals doet.
's morgens kan hij normaal inloggen, en dan na een tijdje (varieert van 5 minuten tot een paar uur) is zijn account gelocked en kan hij niet meer op de shares van de fileserver en zijn outlook 2007 vraagt ook voor een password.
Als ik dan in active directory ga kijken dan is zijn account inderdaad gelocked. Unlock ik zijn account, dan kan hij terug verderwerken, tot de volgende keer.
Client: XP SP3
domaincontroller: 2008r2
exchange 2007 SP2
Zijn PC heb ik al nagekeken naar instellingen die misschien een verbinding willen maken met bijvoorbeeld een share op een server, maar met een oud password. Als die dat 5 keer in 1 minuut doet met een verkeerd password, dan wordt je account gelocked.
Volgens mij is er ergens anders in het netwerk "iets" dat met zijn account wil aanloggen, maar met een verkeerd password.
Maar ik heb geen idee hoe dat ik dat ander "iets" kan opzoeken... In de event log van alle DCs (verschillende vestigingen) zie ik niets bijzonders, in de event log op zijn PC ook geen enkele melding...
Useraccount gelocked in Active Directory
-
selder
- Moderator
- Berichten: 6576
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 112 keer
- Bedankt: 763 keer
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
-
Sasuke
- userbase crew
- Berichten: 5719
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 248 keer
- Bedankt: 544 keer
-
Provider
Selder,
audit opzetten op de servers / dc's, dan komen zo'n zaken zeker naar voor. Best practice bij grotere netwerken is uiteraard logcollection (zoals envision e.d.), maar als het budgetvriendelijk moet is het installeren van de Snare agent en een freeware syslogproduct ook een optie.
http://www.kiwisyslog.com/kb/how-to:-re ... formation/
Grtz,
Sasuke
audit opzetten op de servers / dc's, dan komen zo'n zaken zeker naar voor. Best practice bij grotere netwerken is uiteraard logcollection (zoals envision e.d.), maar als het budgetvriendelijk moet is het installeren van de Snare agent en een freeware syslogproduct ook een optie.
http://www.kiwisyslog.com/kb/how-to:-re ... formation/
Grtz,
Sasuke
Who the fxxk is General Failure and why is he reading my hard disk ?
-
FlashBlue
- Erelid
- Berichten: 2114
- Lid geworden op: 20 jan 2006, 21:08
- Locatie: Gent
- Uitgedeelde bedankjes: 1022 keer
- Bedankt: 296 keer
beginnen met zijn pc uit te sluiten.
Kijk op een dag dat hij verlof heeft of zijn account ook gelockt raakt als hij niet aanlogt -> ligt aan zijn pc.
Wellicht hier of daar een password saving tool ofzo die met de boel aant kloten is.
Of hij heeft ooit vroeger op iemand anders zijn pc een drive gemapped met zijn password, dan kan je dat ook voorkijgen. Maar dat zou je dan meote merken doordat de account ook gelocked raakt als hij er niet is.
Kijk op een dag dat hij verlof heeft of zijn account ook gelockt raakt als hij niet aanlogt -> ligt aan zijn pc.
Wellicht hier of daar een password saving tool ofzo die met de boel aant kloten is.
Of hij heeft ooit vroeger op iemand anders zijn pc een drive gemapped met zijn password, dan kan je dat ook voorkijgen. Maar dat zou je dan meote merken doordat de account ook gelocked raakt als hij er niet is.
© De Morgen: Geachte taalnazi's, deradicaliseer een beetje.
ik heb een identiek voorval gehad, een oplossing die voor mij geholpen heeft is door de computer waarop deze persoon werkt uit het domein te halen, en deze daarna weer terug te plaatsen.
Hierna heb ik geen meldingen meer ontvangen dat deze persoon zich niet kon aanmelden omdat hij gelocked was in AD.
Hierna heb ik geen meldingen meer ontvangen dat deze persoon zich niet kon aanmelden omdat hij gelocked was in AD.
-
jaker
- Elite Poster
- Berichten: 1012
- Lid geworden op: 20 sep 2010, 21:51
- Locatie: Meerhout
- Uitgedeelde bedankjes: 273 keer
- Bedankt: 89 keer
-
Provider
Of de gebruiker heeft onlangs een applicatie geinstalleerd die een service draait onder de account van de gebruiker, dan krijg je ook zoiets.
Internet/TV: Orange Zen Fiber + TV Vlaanderen
Kabelmodem: Arris CM3500B
Router: Netgear R7000 met FreshTomato
Mobiel: Mobile Vikings / Samsung Galaxy S23
Kabelmodem: Arris CM3500B
Router: Netgear R7000 met FreshTomato
Mobiel: Mobile Vikings / Samsung Galaxy S23
-
selder
- Moderator
- Berichten: 6576
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 112 keer
- Bedankt: 763 keer
Of een conficker infectie op een laptop die wel in het netwerk zat, maar niet in het domein... Geen enkel alert van de trend micro! Gelukkig nergens anders een infectie, maar toen ik die laptop gevonden en verwijderd heb, is het gelock ook gestopt... Toeval?
[
Post made via mobile device ]
[
Post made via mobile device ]Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
