Ik heb een eigenaardig probleem waar ik niet weet hoe ik de oplossing voor kan vinden...
Ik heb 1 enkele gebruiker waarvan de useraccount in ons Active Directory domain die om de haverklap "gelocked" wordt, zonder dat die gebruiker iets speciaals doet.
's morgens kan hij normaal inloggen, en dan na een tijdje (varieert van 5 minuten tot een paar uur) is zijn account gelocked en kan hij niet meer op de shares van de fileserver en zijn outlook 2007 vraagt ook voor een password.
Als ik dan in active directory ga kijken dan is zijn account inderdaad gelocked. Unlock ik zijn account, dan kan hij terug verderwerken, tot de volgende keer.
Client: XP SP3
domaincontroller: 2008r2
exchange 2007 SP2
Zijn PC heb ik al nagekeken naar instellingen die misschien een verbinding willen maken met bijvoorbeeld een share op een server, maar met een oud password. Als die dat 5 keer in 1 minuut doet met een verkeerd password, dan wordt je account gelocked.
Volgens mij is er ergens anders in het netwerk "iets" dat met zijn account wil aanloggen, maar met een verkeerd password.
Maar ik heb geen idee hoe dat ik dat ander "iets" kan opzoeken... In de event log van alle DCs (verschillende vestigingen) zie ik niets bijzonders, in de event log op zijn PC ook geen enkele melding...
Useraccount gelocked in Active Directory
-
selder
- Moderator
- Berichten: 6305
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 727 keer
Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset
-
Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Selder,
audit opzetten op de servers / dc's, dan komen zo'n zaken zeker naar voor. Best practice bij grotere netwerken is uiteraard logcollection (zoals envision e.d.), maar als het budgetvriendelijk moet is het installeren van de Snare agent en een freeware syslogproduct ook een optie.
http://www.kiwisyslog.com/kb/how-to:-re ... formation/
Grtz,
Sasuke
audit opzetten op de servers / dc's, dan komen zo'n zaken zeker naar voor. Best practice bij grotere netwerken is uiteraard logcollection (zoals envision e.d.), maar als het budgetvriendelijk moet is het installeren van de Snare agent en een freeware syslogproduct ook een optie.
http://www.kiwisyslog.com/kb/how-to:-re ... formation/
Grtz,
Sasuke
Who the fxxk is General Failure and why is he reading my hard disk ?
-
FlashBlue
- Erelid
- Berichten: 2114
- Lid geworden op: 20 jan 2006, 21:08
- Locatie: Gent
- Uitgedeelde bedankjes: 1055 keer
- Bedankt: 317 keer
beginnen met zijn pc uit te sluiten.
Kijk op een dag dat hij verlof heeft of zijn account ook gelockt raakt als hij niet aanlogt -> ligt aan zijn pc.
Wellicht hier of daar een password saving tool ofzo die met de boel aant kloten is.
Of hij heeft ooit vroeger op iemand anders zijn pc een drive gemapped met zijn password, dan kan je dat ook voorkijgen. Maar dat zou je dan meote merken doordat de account ook gelocked raakt als hij er niet is.
Kijk op een dag dat hij verlof heeft of zijn account ook gelockt raakt als hij niet aanlogt -> ligt aan zijn pc.
Wellicht hier of daar een password saving tool ofzo die met de boel aant kloten is.
Of hij heeft ooit vroeger op iemand anders zijn pc een drive gemapped met zijn password, dan kan je dat ook voorkijgen. Maar dat zou je dan meote merken doordat de account ook gelocked raakt als hij er niet is.
© De Morgen: Geachte taalnazi's, deradicaliseer een beetje.
ik heb een identiek voorval gehad, een oplossing die voor mij geholpen heeft is door de computer waarop deze persoon werkt uit het domein te halen, en deze daarna weer terug te plaatsen.
Hierna heb ik geen meldingen meer ontvangen dat deze persoon zich niet kon aanmelden omdat hij gelocked was in AD.
Hierna heb ik geen meldingen meer ontvangen dat deze persoon zich niet kon aanmelden omdat hij gelocked was in AD.
-
jaker
- Elite Poster
- Berichten: 948
- Lid geworden op: 20 sep 2010, 21:51
- Locatie: Meerhout
- Uitgedeelde bedankjes: 266 keer
- Bedankt: 81 keer
Of de gebruiker heeft onlangs een applicatie geinstalleerd die een service draait onder de account van de gebruiker, dan krijg je ook zoiets.
Internet/TV: All-Internet + Telenet TV
VoIP: Fritzbox 7390 met Dellmont
Router: Netgear R7000 met FreshTomato
VoIP: Fritzbox 7390 met Dellmont
Router: Netgear R7000 met FreshTomato
-
selder
- Moderator
- Berichten: 6305
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 727 keer
Of een conficker infectie op een laptop die wel in het netwerk zat, maar niet in het domein... Geen enkel alert van de trend micro! Gelukkig nergens anders een infectie, maar toen ik die laptop gevonden en verwijderd heb, is het gelock ook gestopt... Toeval?
[
Post made via mobile device ]
[
Post made via mobile device ]Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset
