Wissen

Active Directory – Nutzer wird ständig gesperrt – Grund feststellen – AD

Ein Nutzer bzw. Benutzerkonto wird ständig im Active Directory (AD) gesperrt. Doch warum ist es so und wie kann man den Grund dafür feststellen? Ein Nutzeraccount im AD wird im Normalfall nur gesperrt, wenn ein Admin dies per Hand veranlässt oder der Benutzer selbst, sein Passwort zu oft falsch eingibt. Doch was macht man, wenn der Nutzer versichert – er habe sich nicht vertippt? Dann wird sehr wahrscheinlich der Fall aufgetreten sein, dass das Passwort des AD-Benutzers vom Anwender selbst geändert wurde und es noch irgendwo einen Rechner oder eine Anmeldung z.B. über einen Mail-Account am Smartphone oder in einer anderen Application / PC gibt, bei der man schlicht und einfach vergessen hat – sein neues Kennwort zu hinterlegen. Dieser Mail-Account oder diese Application verursacht dann die „Bad Password“ Anfragen und der es kommt zum „lockout“ des Nutzers im Active Directory.

Doch wie kann man nun feststellen, wer Schuld an der Benutzersperre hat?
Dafür müssen wir zuerst primär zwei Dinge wissen! Wann wurde der Nutzer gesperrt und vor allem auch welcher Domain Controller hat die Sperre vollzogen? Denn wer denkt, es müsste immer der primäre DC vor Ort sein, der irrt! Gerade dann, wenn es auch noch andere Schnittstellen im System – wie zum Beispiel Webmail (OWA) gibt, die zum einen vielleicht ihre Daten über einen ganz anderen Domain Controller beziehen und zweitens mit dem Microsoft Nutzeraccount arbeiten.

Und wie macht man es nun?
Am einfachsten findet man die Daten über die Sperrung eines Nutzeraccounts über das Account Lockout Status Tool von Microsoft heraus.

Download – Account Lockout Status Tool

Merkt Euch bitte beim Ausführen des Tools an welche Stelle es sich kopiert. Denn genau dieses Pfad benötigt man dann um die „LockoutStatus.exe“ auszuführen.

Im nun geöffneten Fenster gebt ihr jetzt unter „Target User Name“ den Anmeldenamen des Benutzers ein. Target Domain Name – naja, die Domain halt – wobei dies schon automatisch ausgefüllt sein sollte. Falls Euer Nutzer nicht die nötigen Rechte besitzt, könntet ihr unter „Use Alternate Credentials“ einen anderen Nutzer mit den passenden Rechten hinterlegen.

Nun dauert es einen kleinen Moment und schon seht ihr alle Domain-Controller Eures Unternehmens mit der Information – wo der Nutzer gesperrt worden ist. Dies ist wichtig, denn auf diesem DC müssen wir uns nun aufschalten und das Sicherheits-Log durchforsten, was mit dem Nutzer passiert ist.

Dafür merken wir uns das Datum und die Uhrzeit und springen dann an diese Stelle in der Ereignisanzeige unter „Sicherheit“.

In den Details kann man nun erkennen, welche Maschine dafür verantwortlich ist, dass der Nutzer gesperrt wurde. Zum Teil kann man hier auch die MAC oder IP des Endgerätes finden.

Dann muss man nun nur noch quer checken, was auf der entsprechenden Maschine für ein Dienst oder Applikation läuft, welche zur Sperrung des Accounts geführt hat.


Tags

Ähnliche Artikel

Kommentar verfassen

Close

Adblock Entdeckt

Bitte unterstütze uns in dem Du AdBlock deaktivierst.

Send this to a friend