Active-Directory-Tipp: So spüren Sie gesperrte Accounts im AD auf und untersuchen die Ursachen

In diesem Tipp zeigen wir Ihnen, wie Sie herausfinden können, welche User-Accounts im Active Directory gesperrt sind und was die Ursache für die Sperrung war. Wir stellen Ihnen dabei zwei mögliche Varianten vor:

Mit Windows-Bordmitteln

Natives Auditing mit Windows-Bordmitteln

In diesem Abschnitt erfahren Sie, wie Sie die Ursache einer Account-Sperrung mit Hilfe der Ereignisanzeige (Event Viewer) in Windows herausfinden können. Bevor Sie loslegen können, sorgen Sie bitte dafür, dass Sie in Ihren Überwachungsrichtlinien die Überwachung von Anmeldeereignissen aktiviert haben. Das funktioniert wie folgt:

  • Schritt 1: Gehen Sie in die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console (GPMC)) > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
  • Schritt 2: Aktivieren Sie Anmeldeversuche überwachen und Anmeldeereignisse überwachen. Schalten Sie die Überwachung erfolgreicher und fehlgeschlagener Ereignisse ein.
  • Schritt 3: Wechseln Sie nun zur Ereignisanzeige (Event Viewer) und suchen Sie nach Protokollen mit der Ereignis-ID 4740. In den Protokolldetails zur Sperrung des Benutzerkontos finden Sie den Namen des aufrufenden Computers (Caller Computer Name).
  • Schritt 4: Gehen Sie zum aufrufenden Computer (Caller Computer) und durchsuchen Sie die Protokolle nach der Ursache für die Sperrung.
  • Schritt 5: Durchsuchen Sie die Protokolle nach Ereignissen, die rund um den Zeitpunkt der Account-Sperrung auftraten.
  • Schritt 6: Überprüfen Sie die aktuelle Anmeldehistorie und die Anmeldeversuche des Anwenders sowie Dienste und Applikationen, geplante Aufgaben, zugeordnete Laufwerke etc., auf die mit den Zugangsdaten des Nutzerkontos zugegriffen wurde.
  • Schritt 7: Falls bei einem der oben genannten Ereignisse ein veraltetes Kennwort verwendet wurde, aktualisieren Sie das Passwort des Benutzers und erzwingen Sie die Replikation.

Mit ADAudit Plus

Wie finden Sie die Ursache von Active-Directory-Kontosperrungen mit ADAudit Plus heraus?

Mit ADAudit Plus lässt sich die Ursache einer Account-Sperrung mit wenigen Klicks herausfinden und Sie erhalten zu jeder Sperrung detaillierte Angaben (Wer, Wann, Wo und Warum). Richten Sie Sofortalarmierungen ein, die den zuständigen Administrator umgehend per E-Mail oder SMS informieren, wenn privilegierte Benutzer ausgesperrt werden oder ungewöhnlich viele Sperrungen auftreten.

ADAudit Plus: Account Lockout Analyzer


Die Berichte in ADAudit Plus enthalten unter anderem folgende Angaben:

  • Name des ausgesperrten Benutzers
  • Domänen-Controller und Computer, aus denen der Nutzer ausgesperrt wurde
  • Zeitpunkt der Sperrung
  • Vorherige Anmeldeversuche des Nutzers
  • Details zu Diensten, zugeordneten Laufwerken und Applikationen, die mit den Zugangsdaten des Nutzers verwendet wurden

Lassen Sie sich sofort alarmieren, wenn privilegierte Benutzer ausgesperrt werden oder sich Sperrungen häufen. ADAudit Plus kann derartige Alarmierungen direkt per E-Mail oder SMS an mobile Endgeräte von Administratoren oder Technikern senden. Mit diesem AD-Lockout-Tool können Sie Kontosperrungen innerhalb von wenigen Minuten auffinden und auflösen.

Über ADAudit Plus

ADAudit Plus ist ein webbasiertes Change-Auditing-Tool, das alle Änderungen im Active Directory in Echtzeit überwacht:

  • Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
  • Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
  • Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
  • Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
  • Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.

Falls Sie mehr darüber erfahren möchten, wie ADAudit Plus Sie bei Ihrem individuellen Active-Directory-Auditing unterstützen kann, klicken Sie hier.

Jetzt testen!
Demo-Version von ADAudit Plus ansehen

Weitere Active-Directory-Tipps:

Herausfinden, wer Ordner-Berechtigungen geändert hat
Herausfinden, wer Dateien auf dem Dateiserver gelöscht hat
Anfragen zu Kennwortrücksetzungen (Password Reset Request) überwachen
Datei- und Ordnerzugriff auf Windows-Dateiservern überwachen
Ereignisprotokolle (Event Logs) Ihres Active Directory anzeigen lassen
Ereignisprotokolle (Event Logs) Ihres Active Directory archivieren
Nicht mehr vorhandene Domänen-Controller entfernen
Domänen-Controller miteinander synchronisieren
Domänen-Controller zu einer Domäne hinzufügen
Ungewöhnliche Dateiaktivitäten von Benutzern überwachen
SQL-Serververbindung
testen
Login-Historie von
Usern überprüfen
Änderungen an DNS-Einträgen
überwachen
5 Active-Directory-
Tipps

Best Practices rund um das Active Directory:

5 Best Practices zu
Organisationseinheiten (OUs) im AD
5 Best Practices zur
Archivierung von Sicherheitsprotokollen
7 Best Practices zum
Active Directory Auditing
10 Best Practices für die
Verwaltung von Gruppenrichtlinien

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren