Compte administrateur domaine locké systematiquement

Compte administrateur domaine locké systematiquement - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 31-05-2011 à 11:07:52    

Bonjour,
 
mon compte admin du domaine se locke toutes les 24h, je cherche le moyen de connaitre comment.... un collegue m'a bien refilé un audit, avec une ip de la machine "coupable" (authentification avec mauvais mot de passe) mais apres verification j'ai encore le soucis, je ne sais pas comment il a fait pour trouver cette info et je soupçonne d'être locké sur un autre DC (et ça replique)... Mon collegue est en vacances maintenant, je ne peux pas lui demander sa procedure.
J'ai surement oublié un lecteur mappé ou une session quelque part, ou pire un rigolo qui joue avec mon compte...
 
Quelqu'un pourrait m'indiquer comment faire pour retrouver ces logs sur le DC (enfin j'imagine que c'est sur le DC).
 
Merci d'avance, je suis un peu dans la mouise....

Reply

Marsh Posté le 31-05-2011 à 11:07:52   

Reply

Marsh Posté le 31-05-2011 à 12:10:50    

Bah les logs de sécu du DC tout simplement

Reply

Marsh Posté le 31-05-2011 à 12:15:55    

c'est le premier truc que j'ai regardé mais c'est pas detaillé... je n'ai pas les ip.
 
je cherche a obtenir ça :  
 
676,AUDIT FAILURE,Security,Mon Feb 19 08:16:34 2007,AUTORITE NT\SYSTEM,Échec de la demande de ticket d'authentification :      Utilisateur : M.X      Nom de domaine Kerberos fourni : mondomaine      Nom du service : krbtgt/mondomaine      Options du ticket : 0x40810010      Code d'échec : 0x12      Adresse du client : 172.21.9.134  
 
je sais que c'est dans les logs mais ou ?  

Reply

Marsh Posté le 31-05-2011 à 12:22:22    

ok je viens de comprendre, j'ai un problème de droit....

Reply

Marsh Posté le 31-05-2011 à 12:22:27    

Bah pourtant sur ta ligne on la voit l'IP

Reply

Marsh Posté le 31-05-2011 à 13:24:37    

c'etait un exemple pris sur le net....  ;)

Reply

Marsh Posté le 31-05-2011 à 13:30:39    

C'est que la ligne surlaquelle tu as regardé n'était pas une authentification réseau

Reply

Marsh Posté le 31-05-2011 à 15:44:38    

bon en fait c'est moi qui ai fait mon boulet, j'ai bien acces et j'arrive a auditer... sauf que j'ai 120000 entrées et si je filtre sur le nom de mon compte j'ai rien, tout est enregistré sous le user "SYSTEM" et y'en a trop... je dois mal m'y prendre....

Reply

Marsh Posté le 31-05-2011 à 17:49:28    

bon j'ai trouvé le pc fautif, j'ai l'erreur quand l'utilisateur se loggue le matin, ça revient tous les jours, 13 fois d'affilée ça utlise mes credentials et donc locke mon compte... j'ai checké le pc, ya pas de lecteur mappé, pas de taches plannifiées (c'est un win 7)... je sens que je vais rigoler pour trouver ce que c'est   :/

Reply

Marsh Posté le 01-06-2011 à 13:12:47    

Bonjour,
 
Regarde du côté des services de Windows, si un service utilise ton compte.
Ou sinon dans exécuter tape 'control userpasswords2' afin de voir si ton compte n'est pas renseigné avec ton ancien mot de passe

Reply

Marsh Posté le 01-06-2011 à 13:12:47   

Reply

Marsh Posté le 19-08-2011 à 12:31:00    

j'ai tout fait.... tout tenté, tout exploré, rien a faire....
j'ai du ghoster le fautif, et tuer la mouche au bazooka  :/

Reply

Marsh Posté le 19-08-2011 à 16:00:48    

ça lui fera les pieds [:frag_facile]


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed