[Win10 / 2012R2] Account raakt steeds locked na wijzigen WW

Hi allen,

Wij hebben hier een gebruiker waarvan zijn account gelocked wordt zodra hij zijn computer vergrendeld. Dit gebeurt niet iedere keer als hij vergrendeld, maar in de meeste gevallen wel. Dit is gaan spelen sinds hij zijn wachtwoord heeft veranderd. Sindsdien hebben we de volgende acties uitgevoerd om uit te zoeken waar het probleem vandaan komt / op te lossen. Betreft een Windows 10 Machine en Windows 2012R2 server als PDC

- Referentiebeheer leeggehaald
- Wachtwoord gereset naar vorige wachtwoord (stel dat er toch iets draaide onder zijn account)
- Mail op de telefoon en iPad Verwijderd en opnieuw toegevoegd
- In eventviewer gekeken waarvandaan hij gelocked wordt. Betreft EventID 4740. Caller Computer name = Workstation. Geen IP adres oid.
- AccountLockoutStatus tool van Microsoft gebruikt (helpt niets)
- Account Lockout Examiner van Netwrix gebruikt. Helpt ook niet echt met zoeken, Workstation name is hier ook Workstation.
- Via Office365 alle aanmeldsessies verwijderd op alle apparaten
- Netwerkshares verwijderd
- Scheduled Task bekeken

Wat zijn nog meer zaken wat ik kan controleren of doen zodat hij niet meer gelocked wordt. Op dit moment zou ik het niet meer weten namelijk.

Kan een nieuw profiel eventueel nog helpen?

wagenveld schreef op donderdag 7 september 2017 @ 13:10:
Naar de scheduled tasks gekeken op de betreffende pc?

Yup, NetWrix kijkt hier ook naar maar zelf ook gecontroleerd. Staat niets raars in.

matsuba schreef op donderdag 7 september 2017 @ 13:15:
ook al gekeken in referentie beheer / credential manager?

Yup, is paar keer leeggehaald, staat ook in startpost.

wagenveld schreef op donderdag 7 september 2017 @ 13:16:
Bestaat er een machine op het netwerk die 'Workstation' heet? Want volgens mij is dit niet de default tekst namelijk.

Net gechecked, staat er niet op.

Raverty schreef op donderdag 7 september 2017 @ 13:16:
Hebben julie toevallig ook dat medewerkers met hun eigen windows account op de wifi kunnen inloggen? Dan zou je daar ook naar kunnen kijken

Nee wordt niet via account ingelogd op WiFi. Mocht dit wel zou zijn dan was het opgelost toen het wachtwoord teruggezet is naar het vorige wachtwoord wat hij voor de wijziging had.

The Realone schreef op donderdag 7 september 2017 @ 13:16:
Wordt er gebruik gemaakt van een Exchange account? Zo ja, even controleren welke apparaten allemaal gekoppeld zijn aan dat account. Mijn ervaring leert dat het 9/10 keer toch een activesync device o.i.d. staat te drammen met het oude wachtwoord.

Feit dat je, naast workstation, geen PC naam zichtbaar is geen meestal aan dat het geen domain joined apparaat betreft.

Wij maken gebruik van Office365. Als ik in het O365 portal kijk op zijn account onder 'OneDrive' dan heb ik hier een knopje om alle O365 sessies af te melden op ieder apparaat. Deze heb ik ingedrukt en hij werd toen ook overal afgemeld.

De daadwerkelijke sessies kon ik echter niet zien. Even kijken hoe en of dat mogelijk is met O365

wagenveld schreef op donderdag 7 september 2017 @ 13:21:
Dirsync met password sync? Dan moet je even nalopen of die goed werkt.

In de O365 portal zie ik het volgende:

Wachtwoordsynchronisatie is ingeschakeld true
Wachtwoordsynchronisatie recente synchronisatie

Hoe kan ik controleren of deze correct werkt?

Helpt het misschien om zijn wachtwoord via de O365 te resetten? Dan is dit direct in de cloud.

Hmm ik zie geen eventID 611 bijvoorbeeld en wel 656 en 657. Dat zou indiceren dat Password Sync goed werkt.

[ Voor 10% gewijzigd door Aschtra op 07-09-2017 14:24 ]

wagenveld schreef op donderdag 7 september 2017 @ 15:30:
Als password sync aan staat kun je geen wachtwoorden wijzigen in O365 zelf, dus zo te zien werkt dat idd goed.

Via het admin center kan ik het wel. Of bedoel je de medewerkers hun eigen portal?

Question Mark schreef op donderdag 7 september 2017 @ 16:10:
[...]

Wel als Password Writeback enabled is.

Is idd enabled.