Account raakt steeds gelockt - Serversoftware en clouddiensten

maandag 22 januari 2007 11:12

Acties:

Topicstarter

Beste mensen,

Ik ben een applicatiebeheerder van een aantal applicaties binnen een bedrijf waar ik werk. Ze draaien hier een Windows 2003 domein. (standaard klein domein met een aantal Windows 2003 Servers)
Ik heb een vervelend probleem dat mijn Active Directory account steeds gelockt raakt om de 2 weken.

Nu vroeg ik mij af of ik dit op één of andere manier kan traceren vanaf welke server/werkstation mijn usercredentials gebruikt worden.

Ik heb het vermoeden dat een applicatie mijn oude user credentials gebruikt i.p.v. de nieuwe applicatie-service-account.

Kan ik op één of andere manier het proces traceren welke mijn user credentials gebruikt?

Alvast bedankt voor de tips.

Groet.

maandag 22 januari 2007 11:26

Acties:

Krypt

Audit Logon Events aanzetten op je DC's. Dan moet ie in de eventviewer voorkomen

Pvouput live

maandag 22 januari 2007 11:29

Acties:

Mathadon

Topicstarter

Krypt,

Als ik deze audit aanzet, krijg ik dan te zien welk proces mijn user credentials gebruikt?

Groet,
Mathadon

maandag 22 januari 2007 11:31

Acties:

BtM909

Watch out Guys...

Waarom zet je het niet aan en bekijk je het resultaat... Wil je weten wat de impact is: zoek dan eens naar Audit Logon Events

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 22 januari 2007 11:39

Acties:

Mathadon

Topicstarter

http://www.microsoft.com/...skit/gp/518.mspx?mfr=true

Blijkbaar zie je het dus niet op proces niveau, als ik deze tekst zelf lees en interpreteer.....

Iemand anders nog tips?

maandag 22 januari 2007 12:08

Acties:

BtM909

Watch out Guys...

Heb je het uberhaupt wel geprobeerd?

Ace of Base vs Charli XCX - All That She Boom Claps (RMT) | Clean Bandit vs Galantis - I'd Rather Be You (RMT)
You've moved up on my notch-list. You have 1 notch
I have a black belt in Kung Flu.

maandag 22 januari 2007 12:27

Acties:

Mathadon

Topicstarter

Zoals ik al zei, ik ben applicatiebeheerder... dus geen systeembeheerder.

Ik heb niet de rechten om die Audit aan te zetten. Ik was op zoek naar de mogelijkheden of er wel een audit bestaat die op proces niveau kan aangeven wie mijn user credentials gebruikt.

Als iemand hiermee ervaring heeft of de kennis ervoor heeft, dan ben ik erg dankbaar...

[ Voor 14% gewijzigd door Mathadon op 22-01-2007 12:29 ]

maandag 22 januari 2007 12:43

Acties:

Rolfie

Misschien moet je gewoon even alle server aflopen om te kijken onder welk account de services draaien?
Of je systeem beheerder even bellen, om te kijken hoever hij je hiermee kan helpen

maandag 22 januari 2007 12:44

Acties:

Krypt

Op proces gaat het je niet lukken. Het enige wat Logon Event Audit doet is een logging maken van alle logon events die op de AD gevalideerd worden.

Als een proces probeert aan te loggen met je account dat zal je in de eventviewer van de DCs een Failure zien staan met de naam van de machine erin.

Denk dat het anders moeilijk wordt om te achterhalen wel proces op welke machine dit probleem genereerd. Als je de machine al weet, dan ben je een stuk dichterbij.

Anders zou je de registry van al je systemen waarop je denk waarop het probleem zich voordoet kunnen doorzoeken in HKLM\System\CurrentControlSet\Services naar "ObjectName" met als value je domainaccount. Maar aangezien het om de 2 weken is denk ik dat het een scheduled task is oid.

Pvouput live

maandag 22 januari 2007 13:08

Acties:

Mathadon

Topicstarter

Rolfie schreef op maandag 22 januari 2007 @ 12:43:
Misschien moet je gewoon even alle server aflopen om te kijken onder welk account de services draaien?
Of je systeem beheerder even bellen, om te kijken hoever hij je hiermee kan helpen

Zover was ik al gekomen, anders had ik niet deze posting geplaatst op GOT.
Ik vermoed dat onze systeembeheerders helaas niet zoveel kennis hebben als sommige mensen hier op het forum... dus vandaar dat ik vraag om hulp.

maandag 22 januari 2007 13:15

Acties:

Mathadon

Topicstarter

Krypt schreef op maandag 22 januari 2007 @ 12:44:
Op proces gaat het je niet lukken. Het enige wat Logon Event Audit doet is een logging maken van alle logon events die op de AD gevalideerd worden.

Als een proces probeert aan te loggen met je account dat zal je in de eventviewer van de DCs een Failure zien staan met de naam van de machine erin.

Denk dat het anders moeilijk wordt om te achterhalen wel proces op welke machine dit probleem genereerd. Als je de machine al weet, dan ben je een stuk dichterbij.

Anders zou je de registry van al je systemen waarop je denk waarop het probleem zich voordoet kunnen doorzoeken in HKLM\System\CurrentControlSet\Services naar "ObjectName" met als value je domainaccount. Maar aangezien het om de 2 weken is denk ik dat het een scheduled task is oid.

Ok, ze hebben de server achterhaalt waarop de user credentials worden "misbruikt". Ik heb alle services gecontroleerd maar geen één met mijn domainaccount. Ik heb alle draaiende processen gecontroleerd en die gebruiken ook niet mijn account. Scheduled tasks, drive-mapping ook gecontroleerd.

Kan ik processen op Windows 2003 Server monitoren voor een bepaalde tijd en a.d.h.v. deze monitoring het tijdstip opzoeken die ik te horen heb gekregen van de systeembeheerder. (gegevens uit de audit) ?

maandag 22 januari 2007 13:17

Acties:

holoX

Gebruik je toevallig een PDA die sync met je Exchange mailbox?

maandag 22 januari 2007 13:24

Acties:

Mathadon

Topicstarter

pjaminon schreef op maandag 22 januari 2007 @ 13:17:
Gebruik je toevallig een PDA die sync met je Exchange mailbox?

Nee zowel niet op de server als op mijn eigen werkstation.

woensdag 24 januari 2007 09:51

Acties:

Mathadon

Topicstarter

Krypt, heb jij nog tips?

woensdag 24 januari 2007 09:59

Acties:

Caeruleus

Misschien heb je hier wat aan? http://blogs.technet.com/...count_lockout_status.aspx

no animals were harmed during the production of this message

donderdag 25 januari 2007 11:46

Acties:

Krypt

Ik zou het niet wetken Mathadon; het enige wat ik me kan bedenken is dat er een applicatie draait op die machine welke zelf een run-as uitvoert met je oude credentials.

Zet anders local audits aan op die server, misschien krijg je dan wat meer info. Eventviewer geeft nu misschien al wat info aangezien iets niets kan doen omdat je credentials niet kloppen; daar zal vast wel een melding ergens van moeten komen.

Pvouput live

donderdag 25 januari 2007 12:12

Acties:

Verwijderd

Rolfie schreef op maandag 22 januari 2007 @ 12:43:
Misschien moet je gewoon even alle server aflopen om te kijken onder welk account de services draaien?
Of je systeem beheerder even bellen, om te kijken hoever hij je hiermee kan helpen

[flamemode]
hey we hebben het over een applicatiebeheerder. Het account en oude pw kan ook gewoon in een ini filetje gezet zijn

[/flamemode]

Dit is idd de beste manier, ook schedulers bekijken helpt ook nog wel eens. Als je echt zo dom bent geweest om een account hardcoded in een applicatie te zetten, dan ben je zelf de meest aangewezen persoon om te herinneren waar

Pagina: 1

Reageer