Benutzerkonto im AD sperrt sich ständig

Computer: Software & Programmierung Windows
#1

Guten Tag,

ich hab folgende Problem mit einem Benutzerkonto im AD.
Das AD liegt auf einem W2K3 und ist im Produktive Einsatz. Ähnliche Probleme gab es noch nie mit anderen Benutzern.

Folgende Geschehnisse:

  • Konto seit mehreren Tagen jeden Tag gesperrt

  • PW von User immer richtig eingegeben

  • Benutzer an keinem anderen Gerät angemeldet

  • Konto täglich mehrmals entsperrt.

  • Benutzer muss beim ersten Anmelden Kennwort ändern. Hat aber nichts gebracht.

Ablauf innerhalb einer Woche:

  • Konto am 13.10. um 8 Uhr wieder gesperrt- entsperrt.

  • Konto am 13.10. um 16.45 wieder gesperrt- entsperrt.

  • Konto am 14.10. um 9 Uhr noch frei.

  • Konto am 14.10. um 10 Uhr noch frei.

  • Konto am 14.10. um 12 Uhr noch frei.

  • Konto am 14.10. um 16.45 Uhr wieder gesperrt- entsperrt.

  • Konto am 15.10. um 9 Uhr noch frei.

  • Konto am 15.10. um 11 Uhr noch frei.

  • Konto am 15.10. um 14 Uhr noch frei.

  • Konto am 16.10. um 8 Uhr noch frei.

  • Konto am 16.10. um 11 Uhr noch frei.

  • Konto am 16.10. um 15.30Uhr gesperrt-entsperrt.

  • Konto am 19.10. um 8.30 Uhr noch frei.

  • Konto am 19.10. um 10 Uhr noch frei.

  • Konto am 20.10. um 9 Uhr gesperrt- wieder frei geschaltet.

  • Konto am 21.10. um 10 Uhr gesperrt- wieder frei geschaltet.

  • Konto am 21.10. um 16 Uhr gesperrt- wieder frei geschaltet.

Bin mit meinem Latein am Ende!

Danke schon einmal im Voraus für großartige Antworten!

#2

Hallo!

ich hab folgende Problem mit einem Benutzerkonto im AD.
Bin mit meinem Latein am Ende!

So sehr ich deinen Einsatz/Ehrgeiz auch bewundere (ich war auch mal so): das ist die Mühe nicht wert.

Benutzer löschen und neu anlegen.

Manchmal hat Windows irgendwo einen F*rz quersitzen, ich hab mir abgewöhnt, nach den Ursachen zu suchen (solange einfache Maßnahmen wie oben genannt das Problem beseitigen), weil mir dafür meine Zeit einfach zu Schade ist.

lg, mabuse

#3

Hallo,

Recht hat er, der Dr. Mabuse!

Löschen und neu anlegen.

mfg, tf

#4

Hallo,

ich hab folgende Problem mit einem Benutzerkonto im AD.
Das AD liegt auf einem W2K3 und ist im Produktive Einsatz.
Ähnliche Probleme gab es noch nie mit anderen Benutzern.

bevor Du hier die unsinnigen Tipps befolgst, den User zu löschen und neu anzulegen, prüfe folgende mögliche Ursachen:

Läuft irgendein Dienst oder geplanter Task unter dem Account? Wenn das Passwort geändert wurde und der Dienst oder Task unter den alten Anmeldedaten versucht zu starten kann das Probleme geben.

Versucht irgendjemand versehentlich sich mit dem Account anzumelden? Viele User prüfen beim Anmelden nicht, ob der richtige Username in der Maske steht, geben somit immer ein nicht zum User passendes Passwort ein. Man kann mittels Tools auch PC so konfigurieren, dass dises sich automatisch mit hinterlegtem Usernamen und Passwort anmelden. Sind die Anmeldedaten falsch, kann der Account gesperrt werden. Versucht jemand einzubrechen? Was sagt die Ereignisanzeige am DC?

All das sollte geklärt werden, bevor man den User neu anlegt. Mir ist in den vielen Jahren AD Erfahrung noch nie untergekommen, dass ein User „kaputt“ war.

Die ganze Sache sollte man aus Gründen der Sicherheit sehr ernst nehmen. Ohne Ursachenforschung einfach den User neu anzulegen halte ich für äußerst fahrlässig.

Gruß

S.J.

#5

Hallo,

Benutzer löschen und neu anlegen.

womit natürlich auch alle Zugriffsrechte neu konfiguriert werden müssen. User löschen und mit gleichem Namen neu anlegen bedeutet im AD mitnichten, dass es wieder der selbe User ist.

Manchmal hat Windows irgendwo einen F*rz quersitzen, ich hab
mir abgewöhnt, nach den Ursachen zu suchen (solange einfache
Maßnahmen wie oben genannt das Problem beseitigen), weil mir
dafür meine Zeit einfach zu Schade ist.

Und wenn Du merkst, dass jemand versucht den Admin Account zu knacken änderst Du das Passwort und kümmerst Dich nicht um weitere Sicherheitsmaßnahmen?

Dass „Windows irgendwo einen F*rz quersitzen“ hat, kann ich im Bereich AD nicht bestätigen.

Gruß

S.J.

#6

Hallo Steve,

womit natürlich auch alle Zugriffsrechte neu konfiguriert
werden müssen. User löschen und mit gleichem Namen neu anlegen
bedeutet im AD mitnichten, dass es wieder der selbe User ist.

In einem gut strukturierten AD hat ein User keine Rechte.
Er ist lediglich Mitglied in eins bis n Benutzergruppen, die Rechte haben. Und ihn beim Neuanlegen wieder in diese Gruppen aufzunehmen würd ich nicht wirklich als Arbeit bezeichnen :wink:

Und wenn Du merkst, dass jemand versucht den Admin Account zu knacken änderst Du das Passwort und kümmerst Dich nicht um weitere Sicherheitsmaßnahmen?

Bitte: wir sind hier bei einem normalen User.
Für den Admin gelten immer andere Regeln.

Dass „Windows irgendwo einen F*rz quersitzen“ hat, kann ich im Bereich AD nicht bestätigen.

Ich hab schon zwei- oder dreimal ähnlich unerklärliche Phänomene erlebt. Einmal hab ich mir noch die Mühe gemacht die Ursache auszuknobeln, hat mich drei Tage gekostet, war irgendwas saublödes (frag mich bloss nicht mehr, was), und wurde letztlich auch am einfachsten durch löschen und neu anlegen behoben.

Seit Monaten zeigt mein Server mir alle zwei Stunden im Ereignisprotokoll an, das keine DNS-Server verfügbar seinen. Witzigerweise ist dieser Server gleichzeitig der DNS-Server für’s ganze Haus, und die DNS-Auflösung funktioniert tadelos (sonst wär ich ja nicht hier) - auch von Server aus.
Klar, ich könnt mir jetzt einen abbrechen und die Ursache für diese Warnung suchen - aber wofür?
Ist wahrscheinlich mal wieder so eine typische M$-Meldung, wo die Ursache nicht das Geringste mit dem eigentlichen Problem zu tun hat - was für die Behebung natürlich nicht gerade hilfreich ist.
Das meinte ich mit Furz quersitzen haben.

Ich seh das mittlerweile ziemlich entspannt.
Klar ist das eigentlich nicht Sinn der Sache, aber was soll’s?
Hauptsache läuft.

lg, mabuse