Consulta - Procesos corriendo con Usuario deshabilitado

09/01/2007 - 14:12 por Pablo Stamati | Informe spam
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las workstations
con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada. Estos
eventos de login los registramos desde los dos DC (2003) registrando con el
ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero no
hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre otras
cosas aparece "Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
09/01/2007 - 17:26 | Informe spam
Hay alguna tarea programada en esos equipos con sus credenciales?

O más posibles causas:
http://www.eventid.net/display.asp?...mp;phase=1

http://search.support.microsoft.com...;cat=False

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Pablo Stamati" escribió en el mensaje
news:Om$a6%23%
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas
complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las
workstations con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada. Estos
eventos de login los registramos desde los dos DC (2003) registrando con
el ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero
no hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre
otras cosas aparece "Logon attempt by:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.


Respuesta Responder a este mensaje
#2 Javier Inglés [MS MVP]
09/01/2007 - 17:26 | Informe spam
Hay alguna tarea programada en esos equipos con sus credenciales?

O más posibles causas:
http://www.eventid.net/display.asp?...mp;phase=1

http://search.support.microsoft.com...;cat=False

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Pablo Stamati" escribió en el mensaje
news:Om$a6%23%
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas
complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las
workstations con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada. Estos
eventos de login los registramos desde los dos DC (2003) registrando con
el ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero
no hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre
otras cosas aparece "Logon attempt by:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.


Respuesta Responder a este mensaje
#3 Pablo Stamati
09/01/2007 - 19:01 | Informe spam
No hay ninguna tarea programada, ni servicios, ni siquiera procesos que
corran con su usuario.
Tambien revisé los componentes DCOM por si había alguno con su usuario y
tampoco.
Se te ocurre que mas puedo mirar?

"Javier Inglés [MS MVP]" wrote in message
news:
Hay alguna tarea programada en esos equipos con sus credenciales?

O más posibles causas:
http://www.eventid.net/display.asp?...mp;phase=1

http://search.support.microsoft.com...;cat=False

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Pablo Stamati" escribió en el mensaje
news:Om$a6%23%
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas
complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las
workstations con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada.
Estos eventos de login los registramos desde los dos DC (2003)
registrando con el ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero
no hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre
otras cosas aparece "Logon attempt by:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.






Respuesta Responder a este mensaje
#4 Pablo Stamati
09/01/2007 - 19:01 | Informe spam
No hay ninguna tarea programada, ni servicios, ni siquiera procesos que
corran con su usuario.
Tambien revisé los componentes DCOM por si había alguno con su usuario y
tampoco.
Se te ocurre que mas puedo mirar?

"Javier Inglés [MS MVP]" wrote in message
news:
Hay alguna tarea programada en esos equipos con sus credenciales?

O más posibles causas:
http://www.eventid.net/display.asp?...mp;phase=1

http://search.support.microsoft.com...;cat=False

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Pablo Stamati" escribió en el mensaje
news:Om$a6%23%
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas
complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las
workstations con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada.
Estos eventos de login los registramos desde los dos DC (2003)
registrando con el ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero
no hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre
otras cosas aparece "Logon attempt by:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.






Respuesta Responder a este mensaje
#5 Claudio
11/01/2007 - 16:33 | Informe spam
REvisaste los workstation con antivirus por las dudas no tengas algún
troyano?
"Pablo Stamati" escribió en el mensaje
news:Om$a6%23%
Hola gente, estoy con un problema que me está volviendo loco.
El lunes uno de los administradores de red se fue de vacaciones y por
política, le deshabilitamos el usuario.
Ayer tuvimos algun que otro problema, pero hoy, la cosa está mas
complicada.
Empezamos a registrar intentos de logoneo desde la mitad de las
workstations con su cuenta.
Obvamente son intentos fallidos, ya que la misma está deshabilitada. Estos
eventos de login los registramos desde los dos DC (2003) registrando con
el ID 680.
Revisé cada workstation en busca de servicios que utilicen su cuenta pero
no hay, luego, con el process explorer busqué algun proceso, pero tampoco
aparece ninguno asociado a su usuario.
Como dato adicional, quizas les sirva, en la info de cada evento entre
otras cosas aparece "Logon attempt by:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0".

Alguna idea de que mas puedo buscar ?
Desde ya muchas gracias por todo lo que pudiera aportarme.


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida