[EH]Keeper
Lieutenant
- Registriert
- Aug. 2001
- Beiträge
- 587
hi,
wie kann man im Windows 2003 Server herausfinden, welcher Benutzer ein bestimmtes Benutzerkonto sperrt?
Folgendes Problem:
auf einem Win2k3 Server (dieser läuft als Fileserver) gibts einen öffentlichen Ordner. Um aber auf diesen Ordner zu kommen, läuft (wegen VPN und unterschiedlicher Domänen usw) eine Skript, welches nur über einen speziellen User in der ADS (nennen wir ihn mal XYZ) den Zugriff gewährt. Wieso, weshalb, warum das so ist, ist hier unwichtig.
Im Prinzip ist nur relevant: jeder User in den verschiedenen Domänen, der Zugriff auf diesen öffentlichen Ordner hat, "klinkt" sich sozusagen durch den User "XYZ" ein. Wer das PWD nicht hat, kommt da auch nicht drauf. Wie gesagt, das nur zur Erläuterung, denn das System funktioniert so seit Jahren wunderbar.
Wichtig noch: das Passwort für den XYZ-User ist fest im Skript hinterlegt und wird NICHT abgefragt - kann also vom eigentlichen User (z.B. Müller, Meyer, ...) nicht geändert werden.
Auch ist dieser Ordner für die, die nicht mit dem Skript "behaftet" sind, nicht sichtbar, um Missbrauch zu vermeiden.
Seit ein paar Tagen aber wird das Konto des Users "XYZ" öfter mal gesperrt. Meine Vermutung geht dahin, dass - so unsre Richtlinien - jeder Benutzer, der sein PWD 3x falsch eingibt, gesperrt wird.
Da der User "XYZ" ja im Prinzip auch nur ein normaler Benutzer in der ADS ist, unterliegt dieser vorerst mal den selben Gesetzen der Policies, wird also bei 3x falscher Eingabe deaktiviert.
Also kurz um, gehe ich davon aus, das EINER dieser User irgendwo ein falsches Passwort "gespeichert" haben muss, dass beim Anmelden 3x falsch ist und somit sperrt. Aber WER?
Es könnten ca. 450 User sein...
Jetzt zu meiner eigentlichen Frage: wie kann ich herausfinden, welcher "echte" USER (Meyer, Müller...), der auf den öffentlichen Ordner zugreifen will, das Konto "XYZ" zum sperren bringt?
Im Ereignissprotokoll kann man dazu rein gar nichts finden. Gibt es da ein Tool oder ne Einstellung, um sämtliche Anmeldeversuche (inkl. der Meldungen, dass ein Konto deaktiviert wurde) anzeigt? Ich finde NIXXX, und ich hab so ziemlich jeden Haken gesetzt, den man setzen kann. Auch in der Ereignissanzeige unter "Sicherheit" steht nichts dabei. Hier wird zwar aufgezählt, wer sich wann wo wie anmeldet, aber dass ein Konto gesperrt wurde usw. und vor allem, von WEM wird hier nicht aufgeführt.
Etwas kompliziert zu lesen, aber ich kann mich grad nicht besser ausdrücken
wie kann man im Windows 2003 Server herausfinden, welcher Benutzer ein bestimmtes Benutzerkonto sperrt?
Folgendes Problem:
auf einem Win2k3 Server (dieser läuft als Fileserver) gibts einen öffentlichen Ordner. Um aber auf diesen Ordner zu kommen, läuft (wegen VPN und unterschiedlicher Domänen usw) eine Skript, welches nur über einen speziellen User in der ADS (nennen wir ihn mal XYZ) den Zugriff gewährt. Wieso, weshalb, warum das so ist, ist hier unwichtig.
Im Prinzip ist nur relevant: jeder User in den verschiedenen Domänen, der Zugriff auf diesen öffentlichen Ordner hat, "klinkt" sich sozusagen durch den User "XYZ" ein. Wer das PWD nicht hat, kommt da auch nicht drauf. Wie gesagt, das nur zur Erläuterung, denn das System funktioniert so seit Jahren wunderbar.
Wichtig noch: das Passwort für den XYZ-User ist fest im Skript hinterlegt und wird NICHT abgefragt - kann also vom eigentlichen User (z.B. Müller, Meyer, ...) nicht geändert werden.
Auch ist dieser Ordner für die, die nicht mit dem Skript "behaftet" sind, nicht sichtbar, um Missbrauch zu vermeiden.
Seit ein paar Tagen aber wird das Konto des Users "XYZ" öfter mal gesperrt. Meine Vermutung geht dahin, dass - so unsre Richtlinien - jeder Benutzer, der sein PWD 3x falsch eingibt, gesperrt wird.
Da der User "XYZ" ja im Prinzip auch nur ein normaler Benutzer in der ADS ist, unterliegt dieser vorerst mal den selben Gesetzen der Policies, wird also bei 3x falscher Eingabe deaktiviert.
Also kurz um, gehe ich davon aus, das EINER dieser User irgendwo ein falsches Passwort "gespeichert" haben muss, dass beim Anmelden 3x falsch ist und somit sperrt. Aber WER?
Es könnten ca. 450 User sein...
Jetzt zu meiner eigentlichen Frage: wie kann ich herausfinden, welcher "echte" USER (Meyer, Müller...), der auf den öffentlichen Ordner zugreifen will, das Konto "XYZ" zum sperren bringt?
Im Ereignissprotokoll kann man dazu rein gar nichts finden. Gibt es da ein Tool oder ne Einstellung, um sämtliche Anmeldeversuche (inkl. der Meldungen, dass ein Konto deaktiviert wurde) anzeigt? Ich finde NIXXX, und ich hab so ziemlich jeden Haken gesetzt, den man setzen kann. Auch in der Ereignissanzeige unter "Sicherheit" steht nichts dabei. Hier wird zwar aufgezählt, wer sich wann wo wie anmeldet, aber dass ein Konto gesperrt wurde usw. und vor allem, von WEM wird hier nicht aufgeführt.
Etwas kompliziert zu lesen, aber ich kann mich grad nicht besser ausdrücken