Mit wie vielen gesperrten Konten haben Sie es Tag für Tag zu tun? Die Behebung von Problemen mit gesperrten Konten gehört zu den Routineaufgaben von IT-Administratoren: Entweder haben Mitarbeiter ihr Kennwort vergessen oder Konten werden aufgrund zu vieler Authentifizierungsanfragen auf den Domänen-Controllern gesperrt. Kontosperrungen können außerdem ein Hinweis auf den Virus Conficker (auch unter den Namen Downup, Downadup oder Kido bekannt) sein, der sich mit Brute-Force-Angriffen Zugriff auf Konten in einem Netzwerk verschafft, oder auf eine Änderung des Kennworts für ein Dienstkonto hindeuten.
Im Folgenden finden Sie eine Liste mit kostenlosen Tools, mit denen Sie die Ursache einer Kontosperrung schneller ermitteln und Produktivitätseinbußen vermeiden können:
Tool Nr. 1: Netwrix Account Lockout Examiner
Mit diesem kostenlosen Tool können IT-Mitarbeiter die Ursache für eine Kontosperrung im Handumdrehen identifizieren. Die Software bietet folgende Möglichkeiten:
- Ermitteln der Ursache für Kontosperrungen: Mit Netwrix Account Lockout Examiner können Sie mit einem Klick die Problemursache ermitteln – ob falsch zugeordnete Netzlaufwerke, die Ausführung von Services oder geplanten Aufgaben mit veralteten Anmeldeinformationen oder ein abgelaufenes Kennwort, das auf einem Mobilgerät gespeichert ist.
- Schnellere Problembehebung: Mit dem Tool können Sie den Zeitaufwand für die Problembehebung durch eine einfache Ermittlung der Ursache um 90 % verringern. So können Sie auch komplexe Ursachen für Kontosperrungen innerhalb weniger Minuten aufspüren und schnell geeignete Korrekturmaßnahmen ergreifen.
- Entlastung der Helpdesk-Mitarbeiter: Netwrix Account Lockout Examiner gibt Ihrem IT-Team die nötigen Informationen an die Hand, um Probleme der Anwender schnell zu beheben und Ausfallzeiten aufgrund der Sperrung eines Dienstkontos einer kritischen Anwendung oder eines Domänen-Controllers zu minimieren.
Tool Nr. 2: Tools zur Ermittlung des Sperrstatus von Konten
Diese Tools von Microsoft unterstützen Sie bei der Behebung von Problemen mit gesperrten Konten:
- exe erfasst und filtert Ereignisse aus den Ereignisprotokollen von Domänen-Controllern. Das Tool verfügt über eine integrierte Funktion zur Suche nach gesperrten Konten. Es speichert die Ereignis-IDs im Zusammenhang mit einer bestimmten Kontosperrung in einer separaten Textdatei.
- exe untersucht alle Domänen-Controller in einer Domäne und zeigt an, wann ein Konto zuletzt gesperrt wurde und auf welchem Domänen-Controller die Sperrung erfolgte. Sie erhalten außerdem Informationen zum aktuellen Status des gesperrten Kontos und zur Anzahl der falschen Kennworteingaben.
- Mit der Netlogon-Protokollierung lassen sich Netlogon- und NT LAN Manager-Ereignisse (NTLM) nachverfolgen. Die Aktivierung der Netlogon-Protokollierung auf allen Domänen-Controllern ist eine effektive Methode, um ein gesperrtes Konto zu isolieren und zu ermitteln, wo die Kontosperrung erfolgte. Zwar ist die Netlogon-Protokollierung kein Bestandteil der Tools für Kontosperrungen und die Kontoverwaltung, doch können mit dem Kontosperrungs-Tool NLParse.exe die Netlogon-Protokolle analysiert werden.
- Acctinfo zeigt weitere Eigenschaften in ADUC (Active Directory Users and Computers) an, z. B. die letzte Anmeldung und den Ablauf von Kennwörtern. Insbesondere stellt dieses Add-on eine weitere Registerkarte in ADUC mit zusätzlichen Kontoinformationen zur Verfügung, mit deren Hilfe Sie gesperrte Konten isolieren und Probleme beheben sowie das Kennwort eines Benutzers auf einem Domänen-Controller auf der Website des Benutzers ändern können.
Tool Nr. 3: AD Lockouts
Dieses einfache Hilfsprogramm versucht, den Ursprung von falschen Kennworteingaben und Kontosperrungen in Active Directory nachzuverfolgen. Es kann in den einzelnen Domänen und auf den einzelnen Domänen-Controllern nach Zugriffsversuchen mit falsch eingegebenen Kennwörtern suchen. Anschließend analysiert es die dazugehörigen Ereignisse auf den einzelnen Domänen-Controllern und ermittelt den Ursprung der Sperrung. Danach werden die einzelnen Systeme und Ausgaben analysiert, um festzustellen, ob es für die gesperrten Konten eine gemeinsame Ursache gibt (z. B. zugeordnete Laufwerke, alte RDP-Sitzungen oder geplante Aufgaben).
Tool Nr. 4: PowerShell
Mit dem folgenden PowerShell-Skript können Sie das Ereignisprotokoll ganz einfach nach Ereignissen filtern, die sich auf ein bestimmtes Konto beziehen, und versuchen herauszufinden, was die Sperrung des Kontos verursacht hat:
Get-EventLog -LogName Security | ?{$_.message -like „*locked*USERNAME*“} | fl -property *
Mit der Funktion Get-UserLockoutStatus können Sie außerdem Probleme im Zusammenhang mit der wiederholten Sperrung eines Kontos untersuchen und beheben. Die Funktion durchsucht alle Domänen-Controller nach einem Benutzer, dessen Konto einen Sperrstatus aufweist: Anzahl falscher Kennwörter, Zeitpunkt der letzten falschen Kennworteingabe und Zeitpunkt der letzten Kennwortänderung. Den vollständigen Code können Sie hier abrufen.
Tool Nr. 5: keines
Asche auf mein Haupt: Ich konnte kein fünftes kostenloses Tool finden. Es gibt jedoch einige kostenpflichtige Tools wie ManageEngine und das Jiji Account Lockout Tool. Das Tool Algoware AD hat in meiner Testumgebung nicht funktioniert, weshalb ich nicht weiß, wozu es in der Lage ist. Vielleicht können Sie ein Tool empfehlen? Mit welchem Tool beheben Sie Probleme mit gesperrten Konten?
Erfahren Sie in einem weiteren Artikel mehr über kostenlose Tools für IT-Administratoren.
.png)
