Windows 2008 R2 gpupdate sperrt mein Benutzerkonto

Ich habe letztes Jahr einen Windows 2008 R2-Server erstellt und seitdem mein erhöhtes Konto 10-12 Mal am Tag gesperrt wird. Nach vielen Recherchen und Tests stellte ich fest, dass der Server mein Konto bei jedem fehlgeschlagenen Versuch, die Gruppenrichtlinie zu aktualisieren, sperrt (etwa alle 90 Minuten). Ich habe im Internet keine Informationen gefunden, die darauf hinweisen, dass jemand anderes dies gesehen hat, und ich finde es selbst unglaublich.

Jedes Mal, wenn 3 Systemereignisse auf dem Server protokolliert werden:

Ereignis-ID 14: Das in Credential Manager gespeicherte Kennwort ist ungültig. Dies kann dadurch verursacht werden, dass der Benutzer das Kennwort von diesem Computer oder einem anderen Computer aus ändert. Um diesen Fehler zu beheben, öffnen Sie den Berechtigungsnachweis-Manager in der Systemsteuerung und geben Sie das Kennwort für den Berechtigungsnachweis contoso \ me erneut ein.

Es gibt keine Einträge im Credential Manager. Dies geschieht unabhängig davon, ob ich den Credential Manager-Dienst deaktiviere oder nicht, ob ich angemeldet bin oder nicht, ob ich mich abmelde und ein lokales Administratorkonto verwende, um mein Profil zu löschen.

Ereignis-ID 40960: Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server cifs / ContosoDC.contoso.com festgestellt. Der Fehlercode aus dem Authentifizierungsprotokoll Kerberos lautete "Das Benutzerkonto wurde automatisch gesperrt, weil zu viele ungültige Anmeldeversuche oder Kennwortänderungsversuche angefordert wurden. (0xc0000234)".

- -

Ereignis-ID 1058:

Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen. Windows hat versucht, die Datei \ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.ini von einem Domänencontroller zu lesen, war jedoch nicht erfolgreich. Gruppenrichtlinieneinstellungen werden möglicherweise erst angewendet, wenn dieses Ereignis behoben ist. Dieses Problem kann vorübergehend sein und durch eine oder mehrere der folgenden Ursachen verursacht werden: a) Namensauflösung / Netzwerkverbindung zum aktuellen Domänencontroller. b) Latenz des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei wurde nicht auf den aktuellen Domänencontroller repliziert). c) Der DFS-Client (Distributed File System) wurde deaktiviert.

Ich habe die Artikel überprüft, keine scheint der Fall zu sein.

Ich habe dies gründlich getestet, indem ich überprüft habe, ob das Benutzerkonto nicht gesperrt ist, gpupdate auf dem Server ausgeführt habe und dann das Benutzerkonto erneut überprüft habe, wodurch es sofort gesperrt wird. Ich habe Lockout-Tools verwendet, um festzustellen, dass alle Lockouts von diesem bestimmten Server stammen. Dem Benutzerkonto ist keine E-Mail-Adresse zugeordnet, und ich habe die üblichen bekannten Sperrprobleme eingehend untersucht.

Irgendwelche Hinweise für mich? Ich mache mich bereit, diesen Produktionsserver herunterzufahren und sein Computerobjekt in AD zurückzusetzen, aber ich weiß nicht, dass es helfen wird.

Anscheinend kann es im Anmeldeinformations-Manager Passwörter geben, die nicht angezeigt werden. Oder um diesen Link zu zitieren :

Es gibt Kennwörter, die im SYSTEM-Kontext gespeichert werden können und in der normalen Ansicht des Anmeldeinformations-Managers nicht angezeigt werden.

Laden Sie PsExec.exe von http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx herunter und kopieren Sie es nach C: \ Windows \ System32.

Führen Sie an einer Eingabeaufforderung Folgendes aus: psexec -i -s -d cmd.exe

Führen Sie im neuen DOS-Fenster Folgendes aus: rundll32 keymgr.dll,KRShowKeyMgr

Entfernen Sie alle Elemente, die in der Liste der gespeicherten Benutzernamen und Kennwörter angezeigt werden. Starte den Computer neu.

Hoffentlich löst das Ihr Problem.

Wenn der Anmeldeinformationsmanager nicht hilft, würde ich versuchen, das System in eine Organisationseinheit ohne zu testende Gruppenrichtlinienobjekte zu stellen.

Wenn das Problem weiterhin auftritt, bezieht es sich auf das Standard-Domänen-Gruppenrichtlinienobjekt, ein Gruppenrichtlinienobjekt, das für die gesamte Domäne gilt oder nicht mit dem Gruppenrichtlinienobjekt zusammenhängt. In beiden Fällen kann dies dazu beitragen, den Suchbereich einzuschränken.

Verwenden Sie an einer cmd-Eingabeaufforderung gpupdate, um die Änderungen zu testen, ohne warten zu müssen, und gpresult / R, um festzustellen, welche Gruppenrichtlinienobjekte auf das System angewendet wurden.

Wenn Sie der Meinung sind, dass noch ein Gruppenrichtlinienobjekt beteiligt ist, verwenden Sie den WMI-Filter, um die Anwendung von Gruppenrichtlinienobjekten zu verhindern.

Beachten Sie auch, dass auf Site-Ebene möglicherweise Gruppenrichtlinienobjekte angewendet werden. Diese werden jedoch in der Ausgabe von gpresult angezeigt.

Wenn Sie in der Lage sind, die Sperren durch Reduzieren der Gruppenrichtlinienobjekte einzuschränken, fügen Sie sie nacheinander zur Organisationseinheit hinzu, um diejenige zu finden, die Teil der Ursache ist. Suchen Sie dann nach diesem Gruppenrichtlinienobjekt, um die Auflösung zu finden.

Hier ist auch eine Liste von Dingen, die ich überprüfe, wenn das Konto gesperrt wird und ich bereits das System kenne, von dem es kommt. Geplante Dienste für Dienste Zugeordnete Laufwerke Webanwendungen VM-Konsole RDP-Sitzungen der KVM-Konsole Skripte PW-Hilfsprogramme VPN-Verbindung Andere Geräte, die eine Verbindung zu E-Mail-Remotedesktop-Tools herstellen Anwendungen, auf denen Credential Manager ausgeführt wird