Computer uit het domein - Windows clients

woensdag 20 april 2011 10:00

Acties:

Topicstarter

Bij een klant van ons had ik laatst een Laptop in het domein gehangen.

Laptop gegevens

Windows 7 32bit
Service pack 1

Server gegevens

Windows SBS 2003
Exchange 2003

Mochten jullie nog meer informatie willen dan hoor ik dit graag

Na een aantal dagen werden wij gebeld omdat ze niet meer konden inloggen.
Op locatie kwam ik tot de ontdekking dat de laptop uit het domein was.
De klant zelf kan dit niet doen aangezien wij dit beveiligd hebben.

Ze hebben er wel een aantal dagen op gewerkt en van de een op de andere dag was hij uit het domein.
Ik was nieuwsgierig en kon niet iets ontdekken op de laptop zelf.
Ook op de server kon ik niks terugvinden.

Heeft iemand dit ook eerder gehad?
Want voor mij is het een raadsel hoe dit kan.

woensdag 20 april 2011 10:02

Acties:

Shunt

Boe

System state restore ?
Anders ga ik er gewoon vanuit dat een persoon is geweest die hem stiekem er toch uit heeft gehaald.

Game PC
2 Post or Not 2 Post What's the question ?
"If it ain't broken, you didn't try hard enough"

woensdag 20 april 2011 10:04

Acties:

ajhaverkamp

gewoon Arjan

De laptop zelf staat dus nog wel ingesteld als lid van een domein?
Enkel in het domein staat hij niet meer (alsof iemand hem met de hand uit de AD heeft gehaald)?

This footer is intentionally left blank

woensdag 20 april 2011 10:15

Acties:

mathien

Topicstarter

Nee er is ook geen system state restore uitgevoerd.
Niemand in dat bedrijf heeft rechten om een laptop uit het domein te halen.

Op de laptop met Windows 7 hebben wij de UAC op de hoogste beveiliging gezet.
Ze zijn ook geen local admin.

hij is gewoon lid van het domein en hij is niet met de hand uit de AD gehaald.
(Krijg je dan niet een melding dat er geen vertrouwens relatie tussen de server en de machine is?)

[ Voor 26% gewijzigd door mathien op 20-04-2011 10:17 ]

woensdag 20 april 2011 10:16

Acties:

Trommelrem

Wat zegt de Event Log? Zonder informatie uit de Event Log kunnen we immers alleen maar speculeren en daar schieten we niets mee op.

[ Voor 71% gewijzigd door Trommelrem op 20-04-2011 10:17 ]

woensdag 20 april 2011 10:18

Acties:

mathien

Topicstarter

Trommelrem schreef op woensdag 20 april 2011 @ 10:16:
Wat zegt de Event Log? Zonder informatie uit de Event Log kunnen we immers alleen maar speculeren en daar schieten we niets mee op.

Dat is dus het probleem er staat niks in de event log.
Zowel op de laptop als op de server

woensdag 20 april 2011 10:28

Acties:

Trommelrem

Als je event log op de server leeg is, dan verklaart dat een van de mogelijke oorzaken waarom je laptop ineens uit het domein is, want dan heeft je server een serieus probleem.

Of bedoel je dat er geen informatie met betrekking tot het probleem in je event log staat? Dat lijkt me sterk. Ook al staat de betreffende fout er niet letterlijk in, dan is er altijd wel aan de hand van andere logs meer informatie te vinden.

Is uberhaupt het lokale admin account nog voorzien van de juiste wachtwoorden? En is je account met de naam Administrator een disabled account zonder wachtwoord (standaardinstelling) of is daarvoor ook een wachtwoord ingesteld? Zelfs Microsoft heeft een tool om lokale wachtwoorden te resetten. Een medewerker kan met het grootste gemak een wachtwoord resetten om administratorrechten te verkrijgen.

[ Voor 51% gewijzigd door Trommelrem op 20-04-2011 10:33 ]

woensdag 20 april 2011 10:31

Acties:

mathien

Topicstarter

Nee ze zijn niet leeg er staat geen informatie over het betreffende probleem.
Ik heb de logs van een dag terug gekeken dus dat houd in.
De logs toen de laptop nog in het domein hing en die erna.

Ik kon nergens uit opmaken waaraan het kon liggen.

woensdag 20 april 2011 10:34

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

mathien schreef op woensdag 20 april 2011 @ 10:00:
Na een aantal dagen werden wij gebeld omdat ze niet meer konden inloggen.
Op locatie kwam ik tot de ontdekking dat de laptop uit het domein was.

Wat is exact de foutmelding en wat is er precies aan de hand?

Is de laptop in een workgroup geplaatst?
Is het computeraccount uit AD verwijderd/disabled?
Kan de laptop het domein niet meer vinden?
etc.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 20 april 2011 10:52

Acties:

mathien

Topicstarter

Question Mark schreef op woensdag 20 april 2011 @ 10:34:
[...]

Wat is exact de foutmelding en wat is er precies aan de hand?
Is de laptop in een workgroup geplaatst?
Is het computeraccount uit AD verwijderd/disabled?
Kan de laptop het domein niet meer vinden?
etc.

De laptop is niet een workgroup geplaatst
Het computeraccount is niet uit de AD verwijderd en ook niet disabled.
De laptop hangt weer in het domein.

De laptop hing eerst in het domein na een paar dagen was hij weer zoals wij hem hebben geleverd.
Helemaal standaard dus
Ik moest alles weer opnieuw instellen.

woensdag 20 april 2011 10:56

Acties:

wasted247

Hebben ze niet gewoon een recovery gedaan via een eventuele partitie van de fabrikant?

woensdag 20 april 2011 11:01

Acties:

mathien

Topicstarter

wasted247 schreef op woensdag 20 april 2011 @ 10:56:
Hebben ze niet gewoon een recovery gedaan via een eventuele partitie van de fabrikant?

Zoals ik al eerder heb aangegeven hebben ze daar geen rechten voor.

UAC staat op de hoogste beveiliging.
Zodra zij wat willen aanpassen aan het systeem is het administrator wachtwoord nodig.

woensdag 20 april 2011 11:06

Acties:

Kerberos84

voor system restore is geen wachtwoord nodig, gewoon bij het booten F12,F11, Fxx (afhankelijk van fabrikant) indrukken, en hoppa, je bent voor het booten van windows in de system restore... Niet echt moeilijk hoor, en niks te maken met administrator zijn of niet.

No Gillette, No Minette

woensdag 20 april 2011 11:14

Acties:

Wceend

wat kerberos84 zegt lijkt me inderdaad de meest voor de hand liggende optie.

woensdag 20 april 2011 11:20

Acties:

mathien

Topicstarter

Ja inderdaad zo kan het ook...
Het lijkt mij onwaarschijnlijk dat ze dit gedaan hebben aangezien ze niet veel kennis over computers hebben.

In ieder geval bedankt voor het meedenken!!

woensdag 20 april 2011 11:23

Acties:

Wceend

mathien schreef op woensdag 20 april 2011 @ 11:20:
Ja inderdaad zo kan het ook...
Het lijkt mij onwaarschijnlijk dat ze dit gedaan hebben aangezien ze niet veel kennis over computers hebben.

In ieder geval bedankt voor het meedenken!!

kun je controleren in de evenlogs aangezien je daar geen logs voor de datum van restore zou moeten zien en zeker niet het in het domein zetten van de client een paar dagen eerder.

woensdag 20 april 2011 11:30

Acties:

mathien

Topicstarter

Wij dachten er inderdaad ook aan een system restore

Maar ik kan logs terugvinden van de datum dat ze nog gewoon konden werken op de laptop.
Er stond ook niks in de log over een system restore.

woensdag 20 april 2011 11:33

Acties:

Wceend

je geeft aan dat de laptop uit het domein is maar later zeg je dat deze laptop niet in een workgroup staat.
Betekend dit dat de laptop zelf dacht nog in het domein te zitten? of zat de laptop in een ander domein?
Mogelijk kun je ook dingen vinden in de security log van de domaincontroller.

woensdag 20 april 2011 11:36

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat zei de gebruiker toen je hem vroeg wat er gebeurd was?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 20 april 2011 11:52

Acties:

mathien

Topicstarter

De klant vertelde mij dat ze de dag ervoor gewoon nog op gewerkt hadden.
Toen zij hem 's ochtends opstarten konden zij niet inloggen omdat hij vroeg om de lokale inlog gegevens.
Toen op locatie was dit inderdaad het geval je kon niet meer switchen van user en ook kon je niet aangeven dat je wou inloggen op een domein.

@ WCeend

Hij stond inderdaad in de workgroup nadat ik was ingelogd.
Beetje onduidelijk uitgelegd sorry!