9
Domain Administrator wird automatisch deaktiviert (2008R2)
Hallo,
ich habe das Problem, das sich bei einer von mir betreuten Domain der Domänen Administrator sporadisch immer wieder deaktiviert.
Ich habe das Kennwort schon gelöscht und geplante Aufgaben sowie GPOs geprüft. Meines Wissens nach kann ich das Konto per GPO nur sperren und nicht deaktivieren, richtig!?
Es wurden schon einige Viren gefunden und bereinigt. Ich habe den Scan schon mit verschiedenen Virenscannern im Betrieb sowie via Rescue-Disk gescant.
Habt Ihr noch eine Idee, was das Deaktivieren veranlassen könnte? In der Ereignisanzeige finde ich hierzu auch nichts. Gibt es ansonsten eine Möglichkeit das Konto speziell zu schützen?
ich habe das Problem, das sich bei einer von mir betreuten Domain der Domänen Administrator sporadisch immer wieder deaktiviert.
Ich habe das Kennwort schon gelöscht und geplante Aufgaben sowie GPOs geprüft. Meines Wissens nach kann ich das Konto per GPO nur sperren und nicht deaktivieren, richtig!?
Es wurden schon einige Viren gefunden und bereinigt. Ich habe den Scan schon mit verschiedenen Virenscannern im Betrieb sowie via Rescue-Disk gescant.
Habt Ihr noch eine Idee, was das Deaktivieren veranlassen könnte? In der Ereignisanzeige finde ich hierzu auch nichts. Gibt es ansonsten eine Möglichkeit das Konto speziell zu schützen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294132
Url: https://administrator.de/contentid/294132
Printed on: April 19, 2024 at 19:04 o'clock
9 Comments
Latest comment
Sers,
werden Logon Versuche geloggt? Wenn nein solltest du dies in den GPO aktivieren.
Ebenfalls in den GPO prüfen nach wie vielen fehlgeschlagenen Logonversuchen das Konto (temporär) gesperrt wird.
Mit diesen Daten kombiniert kannst du über das Eventlog nachvollziehen ob nicht ein fehlerhaft eingerichtetes Gerät oder ein übereifriger User die Sperrung verursacht.
Technet: Audit logon events
Grüße,
Philip
werden Logon Versuche geloggt? Wenn nein solltest du dies in den GPO aktivieren.
Ebenfalls in den GPO prüfen nach wie vielen fehlgeschlagenen Logonversuchen das Konto (temporär) gesperrt wird.
Mit diesen Daten kombiniert kannst du über das Eventlog nachvollziehen ob nicht ein fehlerhaft eingerichtetes Gerät oder ein übereifriger User die Sperrung verursacht.
Technet: Audit logon events
Grüße,
Philip
Hi,
Du kannst das Konto umbenennen. Wenn es dann immer noch deaktiviert wird, dann ist es entweder jemand, der den neuen Namen kennt oder jemand/etwas versucht es über die SID.
E.
Du kannst das Konto umbenennen. Wenn es dann immer noch deaktiviert wird, dann ist es entweder jemand, der den neuen Namen kennt oder jemand/etwas versucht es über die SID.
E.
nein bislang werden Anmeldeversuche nicht geloggt.
Das Problem bezieht sich allerdings auf die Deaktivierung, nicht auf eine Sperrung des Benutzers.
Das Umbenennen muss ich noch ein wenig verschieben, da Datensicherung sowie einige andere Dienste mit dem Administrator-Konto arbeiten. (wird zukünftig auch nicht mehr mit diesem Nutzer eingerichtet... man lernt ja dazu)
Das Problem bezieht sich allerdings auf die Deaktivierung, nicht auf eine Sperrung des Benutzers.
Das Umbenennen muss ich noch ein wenig verschieben, da Datensicherung sowie einige andere Dienste mit dem Administrator-Konto arbeiten. (wird zukünftig auch nicht mehr mit diesem Nutzer eingerichtet... man lernt ja dazu)
OK, habe das verwechselt. Ich bezog mich auf sperren des Kontos. Deaktivieren des Domain Admins sollte per "einfacher" GPO nicht möglich sein. Also bliebe nur noch Script oder Mensch ..
Moin.
Aktiviere einfach die Überwachung für Account-Management auf den DCs, dann wird geloggt, wer das deaktiviert.
Aktiviere einfach die Überwachung für Account-Management auf den DCs, dann wird geloggt, wer das deaktiviert.
OK vielen Dank, ich werde es mal probieren
Es lag wohl an Viren im Netzwerk
Viren, die Domänenadmins deaktivieren? Da würde ich auf die Domänensicherheit nichts mehr geben und für einen Neuaufbau plädieren.
Ist auch in Planung. ist leider nicht mal eben gemacht aber steht mit höchster Prio.
