Forum

Bildirimler

Hepsini Temizle

active directory kullanıcı hesabının sürekli kitlenmesi

Windows Server

Son Cevaplar gön: fatih efe 8 yıl önce

4 Yazılar

3 Üyeler

0 Likes

3,293 Görüntüleme

RSS

fatih efe

(@fatihefe)

Gönderiler: 27

Trusted Member

Konu başlatıcı

active directory kullanıcı hesabı sürekli kitleniyor. Yaklaşık 1 saatte bir kitleniyor. Sürekli active directory den kilidi açmak zorunda kalıyorum. Uyarı penceresinden geçerli kimlik bilgilerinizi girin diye uyarı balonu çıkıyor.

Active Directory'den event-security kayıtlarına baktım aşağıdaki kayıtlar mevcut.Sorunu nasıl çözebilirim?

EventID 4768

GENERAL

System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4768

Version 0

Level 0

Task 14339

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2015-11-23T08:32:04.674172900Z

EventRecordID 32891249

Correlation

- Execution

[ ProcessID] 536
[ ThreadID] 1528

Channel Security

Computer xxxxxxx

Security

- EventData

TargetUserName xxxxxx
TargetDomainName xxxxxx
TargetSid S-1-5-21-2948643962-3213895616-1840395619-1788
ServiceName krbtgt
ServiceSid S-1-5-21-2948643962-3213895616-1840395619-502
TicketOptions 0x40810010
Status 0x0
TicketEncryptionType 0x17
PreAuthType 2
IpAddress ::ffff:xx.xx.xx.xx
IpPort 59354
CertIssuerName
CertSerialNumber
CertThumbprint

DETAIL

A Kerberos authentication ticket (TGT) was requested.

Account Information:
Account Name: xxx
Supplied Realm Name: xxxx
User ID: xxxx\xx

Service Information:
Service Name: krbtgt
Service ID: domain\krbtgt

Network Information:
Client Address: ::ffff:xx.xxx.xx.xx
Client Port: 59354

Additional Information:
Ticket Options: 0x40810010
Result Code: 0x0
Ticket Encryption Type: 0x17
Pre-Authentication Type: 2

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.

---------------------------------------------------------------------------------------------------------------------------------------------------------------

EVENT ID 4769

GENERAL

A Kerberos service ticket was requested.

Account Information:
Account Name: domain
Account Domain: domain
Logon GUID: {6d8b6d01-daef-6e88-a945-f72391292987}

Service Information:
Service Name: domain
Service ID: domain

Network Information:
Client Address: ::ffff:xx.xx.xx.xx
Client Port: 59598

Additional Information:
Ticket Options: 0x40810000
Ticket Encryption Type: 0x12
Failure Code: 0x0
Transited Services: -

This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.

This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.

Ticket options, encryption types, and failure codes are defined in RFC 4120.

DETAIL

- System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4769

Version 0

Level 0

Task 14337

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2015-11-26T10:19:52.409491200Z

EventRecordID 33037056

Correlation

- Execution

[ ProcessID] 536
[ ThreadID] 1260

Channel Security

Computer domain

Security

- EventData

TargetUserName [email protected]
TargetDomainName domain
ServiceName xxxxx
ServiceSid S-1-5-21-2948643962-3213895616-1840395619-7179
TicketOptions 0x40810000
TicketEncryptionType 0x12
IpAddress ::ffff:xx.xx.xx.xx
IpPort 62468
Status 0x0
LogonGuid {D9869E21-3575-00E3-999E-FC7301D10359}
TransmittedServices -
.

Gönderildi : 26/11/2015 17:05

Rıza ŞAHAN

(@www-rizasahan-com)

Gönderiler: 18028

Sisteminiz nedir? Lock olan kullanıcının hesabı nerede kullanılıyor ise event id üzerinden görünebilir. Orada kontroller yapabilirsiniz.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

Gönderildi : 26/11/2015 19:42

Omer Ucler

(@OmerUcler)

Gönderiler: 506

Prominent Member

active directory kullanıcı hesabı sürekli kitleniyor. Yaklaşık 1 saatte bir kitleniyor. Sürekli active directory den kilidi açmak zorunda kalıyorum. Uyarı penceresinden geçerli kimlik bilgilerinizi girin diye uyarı balonu çıkıyor.

Active Directory'den event-security kayıtlarına baktım aşağıdaki kayıtlar mevcut.Sorunu nasıl çözebilirim?

EventID 4768

GENERAL

System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4768

Version 0

Level 0

Task 14339

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2015-11-23T08:32:04.674172900Z

EventRecordID 32891249

Correlation

- Execution

[ ProcessID] 536
[ ThreadID] 1528

Channel Security

Computer xxxxxxx

Security

- EventData

TargetUserName xxxxxx
TargetDomainName xxxxxx
TargetSid S-1-5-21-2948643962-3213895616-1840395619-1788
ServiceName krbtgt
ServiceSid S-1-5-21-2948643962-3213895616-1840395619-502
TicketOptions 0x40810010
Status 0x0
TicketEncryptionType 0x17
PreAuthType 2
IpAddress ::ffff:xx.xx.xx.xx
IpPort 59354
CertIssuerName
CertSerialNumber
CertThumbprint

DETAIL

A Kerberos authentication ticket (TGT) was requested.

Account Information:
Account Name: xxx
Supplied Realm Name: xxxx
User ID: xxxx\xx

Service Information:
Service Name: krbtgt
Service ID: domain\krbtgt

Network Information:
Client Address: ::ffff:xx.xxx.xx.xx
Client Port: 59354

Additional Information:
Ticket Options: 0x40810010
Result Code: 0x0
Ticket Encryption Type: 0x17
Pre-Authentication Type: 2

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.

---------------------------------------------------------------------------------------------------------------------------------------------------------------

EVENT ID 4769

GENERAL

A Kerberos service ticket was requested.

Account Information:
Account Name: domain
Account Domain: domain
Logon GUID: {6d8b6d01-daef-6e88-a945-f72391292987}

Service Information:
Service Name: domain
Service ID: domain

Network Information:
Client Address: ::ffff:xx.xx.xx.xx
Client Port: 59598

Additional Information:
Ticket Options: 0x40810000
Ticket Encryption Type: 0x12
Failure Code: 0x0
Transited Services: -

This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.

This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.

Ticket options, encryption types, and failure codes are defined in RFC 4120.

DETAIL

- System

- Provider

[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}

EventID 4769

Version 0

Level 0

Task 14337

Opcode 0

Keywords 0x8020000000000000

- TimeCreated

[ SystemTime] 2015-11-26T10:19:52.409491200Z

EventRecordID 33037056

Correlation

- Execution

[ ProcessID] 536
[ ThreadID] 1260

Channel Security

Computer domain

Security

- EventData

TargetUserName [email protected]
TargetDomainName domain
ServiceName xxxxx
ServiceSid S-1-5-21-2948643962-3213895616-1840395619-7179
TicketOptions 0x40810000
TicketEncryptionType 0x12
IpAddress ::ffff:xx.xx.xx.xx
IpPort 62468
Status 0x0
LogonGuid {D9869E21-3575-00E3-999E-FC7301D10359}
TransmittedServices -
.

Merhaba,

Active Directory içerisinde bulunan bir kullanıcı ise kullanıcının logon olduğu sunucularda herhangi bir user ve password bilgisi kalmış olabilir.(Internet Explorer ve benzeri tarayıcılarda) buna ek olarak herhangi bir schedule edilmiş bir process kalmış olabilir veya servisi çalıştıran bir user da olabilir. Son olarak kullanıcının hangi sunucuda kaldığını ya powershell yada 3.party bir uygulama ile tespit edebilirsiniz.

Gönderildi : 28/11/2015 17:01

fatih efe

(@fatihefe)

Gönderiler: 27

Trusted Member

Konu başlatıcı

Event viewer'da şöyle bir hata yazıyor, fileserver diye bir sunucumuz var fakat o sunucuda oturumum açık gözükmüyor. cifs/fileserver.domain.com.tr burda yazan cifs nedir?

Güvenlik Sistemi, cifs/fileserver.domain.com.tr sunucusu için kimlik doğrulama hatası algıladı. Kerberos kimlik doğrulama protokolünden dönen hata kodu: "Kullanıcı hesabı, çok fazla sayıda geçersiz oturum açma veya parola değiştirme girişimi olduğu için otomatik olarak kilitlendi.
(0xc0000234)".

Gönderildi : 30/11/2015 14:03

Paylaş: