Heute hat mich ein Benutzer angerufen und mich gefragt, warum er sich an dem PenTop nicht mehr anmelden könne – Computer wäre gesperrt. Eine Suche im Active Directory hat dann hervorgebracht, dass das Computer-Objekt im AD gelöscht war. Eine Wiederherstellung des Objektes war einfach mit Sysinternals AdRestore zu bewerkstelligen, aber nach der Wiederherstellung wusste ich noch nicht, wieso das AD-Objekt einfach “weg” war.
Das Ergebnis hat mir EventCombMT aus den Account Lockout Tools von Microsoft gebracht. Zu dem Zeitpunkt kannte ich noch nicht die Event IDs, nach denen ich hätte suchen können, daher habe ich eine komplette Suche über alle drei Domain Controller im Security Eventlog nach dem Hostnamen des PCs durchgeführt. Und siehe da, ich konnte herausfinden, welcher Account das Computer-Objekt gelöscht hat.
Für euch als Hilfestellung bei der Suche hier noch die EventIDs, die im Security Eventlog verwendet werden:
| Server <=2003 | Server >=2008 | Aktion |
|---|---|---|
| 626 | 4722 | Konto aktiviert (Benutzer & Computer) |
| 628 | 4724 | Kennwort geändert (Benutzer & Computer) |
| 624 | 4720 | Benutzerkonto erstellt |
| 642 | 4738 | Benutzerkonto geändert |
| 630 | 4726 | Benutzerkonto gelöscht |
| 645 | 4741 | Computerkonto erstellt |
| 646 | 4742 | Computerkonto geändert |
| 647 | 4743 | Computerkonto gelöscht |
Für alle Events gilt:
- Type: Success
- Category: Account Management
Dies sollte den Suchvorgang erheblich beschleunigen. Und jetzt, wo man das “wer” kennt, ist das “warum” nur noch ein Anruf entfernt…