Benutzer identifizieren - win2k3 Server

hi,

wie kann man im Windows 2003 Server herausfinden, welcher Benutzer ein bestimmtes Benutzerkonto sperrt?

Folgendes Problem:

auf einem Win2k3 Server (dieser läuft als Fileserver) gibts einen öffentlichen Ordner. Um aber auf diesen Ordner zu kommen, läuft (wegen VPN und unterschiedlicher Domänen usw) eine Skript, welches nur über einen speziellen User in der ADS (nennen wir ihn mal XYZ) den Zugriff gewährt. Wieso, weshalb, warum das so ist, ist hier unwichtig.
Im Prinzip ist nur relevant: jeder User in den verschiedenen Domänen, der Zugriff auf diesen öffentlichen Ordner hat, "klinkt" sich sozusagen durch den User "XYZ" ein. Wer das PWD nicht hat, kommt da auch nicht drauf. Wie gesagt, das nur zur Erläuterung, denn das System funktioniert so seit Jahren wunderbar.
Wichtig noch: das Passwort für den XYZ-User ist fest im Skript hinterlegt und wird NICHT abgefragt - kann also vom eigentlichen User (z.B. Müller, Meyer, ...) nicht geändert werden.
Auch ist dieser Ordner für die, die nicht mit dem Skript "behaftet" sind, nicht sichtbar, um Missbrauch zu vermeiden.

Seit ein paar Tagen aber wird das Konto des Users "XYZ" öfter mal gesperrt. Meine Vermutung geht dahin, dass - so unsre Richtlinien - jeder Benutzer, der sein PWD 3x falsch eingibt, gesperrt wird.
Da der User "XYZ" ja im Prinzip auch nur ein normaler Benutzer in der ADS ist, unterliegt dieser vorerst mal den selben Gesetzen der Policies, wird also bei 3x falscher Eingabe deaktiviert.

Also kurz um, gehe ich davon aus, das EINER dieser User irgendwo ein falsches Passwort "gespeichert" haben muss, dass beim Anmelden 3x falsch ist und somit sperrt. Aber WER?
Es könnten ca. 450 User sein...

Jetzt zu meiner eigentlichen Frage: wie kann ich herausfinden, welcher "echte" USER (Meyer, Müller...), der auf den öffentlichen Ordner zugreifen will, das Konto "XYZ" zum sperren bringt?
Im Ereignissprotokoll kann man dazu rein gar nichts finden. Gibt es da ein Tool oder ne Einstellung, um sämtliche Anmeldeversuche (inkl. der Meldungen, dass ein Konto deaktiviert wurde) anzeigt? Ich finde NIXXX, und ich hab so ziemlich jeden Haken gesetzt, den man setzen kann. Auch in der Ereignissanzeige unter "Sicherheit" steht nichts dabei. Hier wird zwar aufgezählt, wer sich wann wo wie anmeldet, aber dass ein Konto gesperrt wurde usw. und vor allem, von WEM wird hier nicht aufgeführt.

Etwas kompliziert zu lesen, aber ich kann mich grad nicht besser ausdrücken

denke, dass du da wenig chancen hast, dass herauszufinden.

Das könnte eventuell in der Ereignissanzeige stehen. Zumdindest stehen da z.B. die Radius-fehlversuche (802.1X) drinne. Da würde ich mal gucken =)

gibt es evtl. ein Tool, mit dem man Zugriffe auf bestimmte Ordner loggen kann?
Quasi, eine Art Alarmanlage, die los geht, wenn jemand auf den ausgewählten Ordner zugreift?

In den "Lokalen Sicherheitsrichtline" kannst du unter "Lokale Richtlinien" -> "Überwachungsrichtline" -> "Anmeldeversuche überwachen" fehlerhafte Anmeldeversuche loggen.
Mit "Kontenverwaltung überwachen" müsstest du auch das Sperren des Accounts mitkriegen.

Meinst du mit Ordner-Überwachung sowas hier: File Watcher Utilities?

Ich kenne die Situation natürlich nicht, aber nur als Gedankenanstoß:
Ich vermute mal das Skript verbindet einfach ein Netzlaufwerk. In dem Fall könnte man die User auch mit eigenen Accounts anmelden lassen, denn mit Netzlaufwerken kann man sich auch problemlos mit AD-Anmeldeinformationen verbinden, selbst wenn man nicht in der Domäne ist. Dann könntest du auch einfach NTFS-Berechtigungen benutzen und kannst vor allem den Zugriff für einzelne Benutzer auch wieder entziehen.