Forums Neueste Beiträge
 

User gesperrt. Ursache finden.

22/01/2009 - 18:13 von Andrej Golubew | Report spam
Guten Tag zusammen,

wir haben ca. 8 AD-Controller WIN2K3. Die Richtline sagen, das nach 10
falscheigegebene Kenwörter, muss Account gesperrt.

Kann man irgedwie rausfinden von welche Computer war die falsche
Passworteingabe? Gibt es irgendein EventID dafür?

Kann man es mit VBS lösen?
 

Lesen sie die antworten

#1 Dirk Stegemann
22/01/2009 - 22:30 | Warnen spam
Hallo Andrej,

Kann man irgedwie rausfinden von welche Computer war die falsche
Passworteingabe? Gibt es irgendein EventID dafür?



Ich denke schon, aber dafür muß VORHER das Logging angeschaltet worden sein.

In der
Domain Controler Securicy Policy --> Audit Policy --> Audit Account logon
Events
Domain Controler Securicy Policy --> Audit Policy --> Audit logon Events

jeweils success, failure

Im Event Log siehst du dann ein Schloss vor Eintràgen bei Fehlschlag...

Die Event_ID sollte 675 sein.
Preauthentication failed

Dort ist dann auch in den Details die Client IP Adresse zu sehen, also die
Arbeitsstation, von der aus der Versuch unternommen wurde.

Kann man es mit VBS lösen



Ich denke, das es prinzipiell möglich ist, aber es ist vielleicht sinnvoller
das zu nehmen, was eh' schon da ist...

Entweder, du schaust dir das Eventlog auf den einzelnen DC's interaktiv mit
einem Filter an,
oder du speichert die Logfiles der Server als csv und benutzt den Logparser

Info:
http://www.microsoft.com/technet/sc...fault.mspx

Download:
http://www.microsoft.com/downloads/...x?FamilyID‰0cd06b-abf8-4c25-91b2-f8d975cf8c07

Warum das Rad neu erfinden...

Wenn du es mit vbs machen willst müsstest du halt selber einen csv Parser
basteln..

Gruß

Dirk

PS: Vielleicht ist deine Frage besser in windows.server.active_directory
aufgehoben.

"Andrej Golubew" schrieb im
Newsbeitrag news:
Guten Tag zusammen,

wir haben ca. 8 AD-Controller WIN2K3. Die Richtline sagen, das nach 10
falscheigegebene Kenwörter, muss Account gesperrt.

Kann man irgedwie rausfinden von welche Computer war die falsche
Passworteingabe? Gibt es irgendein EventID dafür?

Kann man es mit VBS lösen?

Ähnliche fragen