Userbase

Ik heb een eigenaardig probleem waar ik niet weet hoe ik de oplossing voor kan vinden...

Ik heb 1 enkele gebruiker waarvan de useraccount in ons Active Directory domain die om de haverklap "gelocked" wordt, zonder dat die gebruiker iets speciaals doet.

's morgens kan hij normaal inloggen, en dan na een tijdje (varieert van 5 minuten tot een paar uur) is zijn account gelocked en kan hij niet meer op de shares van de fileserver en zijn outlook 2007 vraagt ook voor een password.
Als ik dan in active directory ga kijken dan is zijn account inderdaad gelocked. Unlock ik zijn account, dan kan hij terug verderwerken, tot de volgende keer.

Client: XP SP3
domaincontroller: 2008r2
exchange 2007 SP2

Zijn PC heb ik al nagekeken naar instellingen die misschien een verbinding willen maken met bijvoorbeeld een share op een server, maar met een oud password. Als die dat 5 keer in 1 minuut doet met een verkeerd password, dan wordt je account gelocked.

Volgens mij is er ergens anders in het netwerk "iets" dat met zijn account wil aanloggen, maar met een verkeerd password.

Maar ik heb geen idee hoe dat ik dat ander "iets" kan opzoeken... In de event log van alle DCs (verschillende vestigingen) zie ik niets bijzonders, in de event log op zijn PC ook geen enkele melding...

Selder,

audit opzetten op de servers / dc's, dan komen zo'n zaken zeker naar voor. Best practice bij grotere netwerken is uiteraard logcollection (zoals envision e.d.), maar als het budgetvriendelijk moet is het installeren van de Snare agent en een freeware syslogproduct ook een optie.
http://www.kiwisyslog.com/kb/how-to:-re ... formation/

Grtz,
Sasuke

beginnen met zijn pc uit te sluiten.

Kijk op een dag dat hij verlof heeft of zijn account ook gelockt raakt als hij niet aanlogt -> ligt aan zijn pc.

Wellicht hier of daar een password saving tool ofzo die met de boel aant kloten is.
Of hij heeft ooit vroeger op iemand anders zijn pc een drive gemapped met zijn password, dan kan je dat ook voorkijgen. Maar dat zou je dan meote merken doordat de account ook gelocked raakt als hij er niet is.

en als voorgaande het geval is, moet ge een nieuwe account aanmaken, da's het simpelste denk ik.

ik heb een identiek voorval gehad, een oplossing die voor mij geholpen heeft is door de computer waarop deze persoon werkt uit het domein te halen, en deze daarna weer terug te plaatsen.
Hierna heb ik geen meldingen meer ontvangen dat deze persoon zich niet kon aanmelden omdat hij gelocked was in AD.

Of de gebruiker heeft onlangs een applicatie geinstalleerd die een service draait onder de account van de gebruiker, dan krijg je ook zoiets.

Of een conficker infectie op een laptop die wel in het netwerk zat, maar niet in het domein... Geen enkel alert van de trend micro! Gelukkig nergens anders een infectie, maar toen ik die laptop gevonden en verwijderd heb, is het gelock ook gestopt... Toeval?

[ Post made via mobile device ]