4625(F): Ein Konto konnte sich nicht anmelden.

Betrifft

  • Windows 10
  • Windows Server 2016
Event 4625 illustration

Unterkategorien:   Kontosperrung und Anmeldung überwachen

Ereignisbeschreibung:

Dieses Ereignis generiert, wenn ein Anmeldeversuch für ein Konto fehlgeschlagen ist, wenn das Konto bereits gesperrt war. Außerdem wird ein Anmeldeversuch generiert, nach dem das Konto gesperrt wurde.

Es wird auf dem Computer generiert, auf dem der Anmeldeversuch ausgeführt wurde, z. B. wenn der Anmeldeversuch auf der Arbeitsstation des Benutzers vorgenommen wurde, wird das Ereignis auf dieser Arbeitsstation protokolliert.

Dieses Ereignis wird auf Domänencontrollern, Mitgliedsservern und Arbeitsstationen generiert.

Hinweis

Empfehlungen finden Sie unter "Sicherheitsüberwachung Empfehlungen für dieses Ereignis".


Ereignis-XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4625</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12546</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-08T22:54:54.962511700Z" /> 
 <EventRecordID>229977</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3240" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-0-0</Data> 
 <Data Name="TargetUserName">Auditor</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="Status">0xc0000234</Data> 
 <Data Name="FailureReason">%%2307</Data> 
 <Data Name="SubStatus">0x0</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">DC01</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x1bc</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\winlogon.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

Erforderliche Serverrollen: keine.

Mindestens BS-Version: Windows Server 2008, Windows Vista.

Ereignisversionen: 0.

Beschreibung der Felder:

Betreff:

  • Sicherheits-ID [Typ = SID]: SID des Kontos, das Informationen zu Anmeldefehlern gemeldet hat. Die Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten des Ereignisses angezeigt.

    Hinweis

    Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Vertrauensnehmer (Sicherheitsprinzipal) zu identifizieren. Jedes Konto verfügt über eine eindeutige SID, die von einer Zertifizierungsstelle (z. B. einem Active Directory-Domänencontroller) ausgestellt und in einer Sicherheitsdatenbank gespeichert wird. Jedes Mal, wenn ein Benutzer sich anmeldet, ruft das System die SID für diesen Benutzer aus der Datenbank ab und fügt Sie in sein Zugriffstoken ein. Das System verwendet die SID im Zugriffstoken, um den Benutzer in allen weiteren Interaktionen mithilfe der Windows-Sicherheit zu identifizieren. Sobald eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann Sie nicht wieder verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren. Weitere Informationen zu SIDs finden Sie unter Sicherheitskennungen.

  • Kontoname [Typ = UnicodeString]: der Name des Kontos, das Informationen zu Anmeldefehlern gemeldet hat.

  • Kontodomäne [Typ = UnicodeString]: Domäne oder Computername des Antragstellers. Hier sind einige Beispiele für Formate:

    • NetBIOS-Domänenname, z. B. CONTOSO

    • Vollständiger Domänenname in Kleinbuchstaben: contoso.local

    • Vollständiger Domänenname in Großbuchstaben: CONTOSO.LOCAL

    • Bei einigen bekannten Sicherheitsprinzipalen, z. B. "LOCAL SERVICE" oder "ANONYMOUS LOGON", lautet der Wert dieses Felds "NT AUTHORITY".

    • Bei lokalen Benutzerkonten enthält dieses Feld den Namen des Computers oder Geräts, zu dem dieses Konto gehört, z. B. "Win81".

  • Anmeldetyp [Typ = UInt32]: Der Typ der Anmeldung, die durchgeführt wurde. "Tabelle 11. Windows Anmeldetypen" enthält die Liste der möglichen Werte für dieses Feld.

    Tabelle 11: Windows Anmeldetypen

    Anmeldetyp Anmeldetitel Beschreibung
    2 Interaktive Ein Benutzer, der sich bei diesem Computer angemeldet hat.
    3 Network Ein Benutzer oder Computer, der über das Netzwerk bei diesem Computer angemeldet ist.
    4 Batch Der Batchanmeldetyp wird von Batchservern verwendet, auf denen Prozesse im Namen eines Benutzers ohne direktes Eingreifen ausgeführt werden können.
    5 Service Ein Dienst wurde vom Dienststeuerungs-Manager gestartet.
    7 Entsperrung Diese Arbeitsstation wurde entsperrt.
    8 NetworkCleartext Ein Benutzer, der sich über das Netzwerk bei diesem Computer angemeldet hat. Das Kennwort des Benutzers wurde an das Authentifizierungspaket in seinem nicht gesicherten Formular übergeben. Die integrierte Authentifizierung verpackt alle Hashanmeldeinformationen, bevor sie über das Netzwerk gesendet werden. Die Anmeldeinformationen durchlaufen das Netzwerk nicht im Klartext (auch als Klartext bezeichnet).
    9 NewCredentials Ein Aufrufer hat sein aktuelles Token geklont und neue Anmeldeinformationen für ausgehende Verbindungen angegeben. Die neue Anmeldesitzung hat die gleiche lokale Identität, verwendet jedoch unterschiedliche Anmeldeinformationen für andere Netzwerkverbindungen.
    10 RemoteInteractive Ein Benutzer, der sich remote über Terminaldienste oder Remotedesktop bei diesem Computer angemeldet hat.
    11 CachedInteractive Ein Benutzer hat sich auf diesem Computer mit Netzwerkanmeldeinformationen angemeldet, die lokal auf dem Computer gespeichert wurden. Der Domänencontroller wurde nicht kontaktiert, um die Anmeldeinformationen zu überprüfen.

Konto, für das die Anmeldung fehlgeschlagen ist:

  • Sicherheits-ID [Typ = SID]: SID des Kontos, das beim Anmeldeversuch angegeben wurde. Die Ereignisanzeige versucht automatisch, SIDs aufzulösen und den Kontonamen anzuzeigen. Wenn die SID nicht aufgelöst werden kann, werden die Quelldaten des Ereignisses angezeigt.

    Hinweis

    Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Vertrauensnehmer (Sicherheitsprinzipal) zu identifizieren. Jedes Konto verfügt über eine eindeutige SID, die von einer Zertifizierungsstelle (z. B. einem Active Directory-Domänencontroller) ausgestellt und in einer Sicherheitsdatenbank gespeichert wird. Jedes Mal, wenn ein Benutzer sich anmeldet, ruft das System die SID für diesen Benutzer aus der Datenbank ab und fügt Sie in sein Zugriffstoken ein. Das System verwendet die SID im Zugriffstoken, um den Benutzer in allen weiteren Interaktionen mithilfe der Windows-Sicherheit zu identifizieren. Sobald eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann Sie nicht wieder verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren. Weitere Informationen zu SIDs finden Sie unter Sicherheitskennungen.

  • Kontoname [Typ = UnicodeString]: der Name des Kontos, das beim Anmeldeversuch angegeben wurde.

  • Kontodomäne [Typ = UnicodeString]: Domänen- oder Computername. Hier sind einige Beispiele für Formate:

    • NetBIOS-Domänenname, z. B. CONTOSO

    • Vollständiger Domänenname in Kleinbuchstaben: contoso.local

    • Vollständiger Domänenname in Großbuchstaben: CONTOSO.LOCAL

    • Bei einigen bekannten Sicherheitsprinzipalen, z. B. "LOCAL SERVICE" oder "ANONYMOUS LOGON", lautet der Wert dieses Felds "NT AUTHORITY".

    • Bei lokalen Benutzerkonten enthält dieses Feld den Namen des Computers oder Geräts, zu dem dieses Konto gehört, z. B. "Win81".

  • Anmelde-ID [Typ = HexInt64 ]: Hexadezimaler Wert, der Ihnen dabei helfen kann, dieses Ereignis zu den zuletzt verwendeten Ereignissen in Beziehung zu setzen, die möglicherweise dieselbe Anmelde-ID enthalten, z. B. "4624: “Ein Konto wurde erfolgreich angemeldet."

Fehlerinformationen:

  • Fehlergrund [Typ = UnicodeString]: Texterläuterung des Statusfeldwerts. **** Für dieses Ereignis weist es in der Regel den Wert "Konto gesperrt" auf.

  • Status [Type = HexInt32]: Der Grund, warum die Anmeldung fehlgeschlagen ist. Für dieses Ereignis hat es in der Regel den Wert "0xC0000234". Die gängigsten Statuscodes sind in Tabelle 12 aufgeführt. Windows Statuscodes für die Anmeldung.

    Tabelle 12: Windows Statuscodes für die Anmeldung.

    Status\Unterstatuscode Beschreibung
    0XC000005E Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu warten.
    0xC0000064 Benutzeranmeldung mit falsch geschriebenen oder ungültigen Benutzerkonten
    0xC000006A Benutzeranmeldung mit falsch geschriebenen oder ungültigen Kennwörtern
    0XC000006D Die Ursache ist entweder ein ungültiger Benutzername oder Authentifizierungsinformationen.
    0XC000006E Gibt an, dass ein Referenzbenutzername und Authentifizierungsinformationen gültig sind, aber einige Einschränkungen des Benutzerkontos haben eine erfolgreiche Authentifizierung verhindert (z. B. Einschränkungen für die Uhrzeit).
    0xC000006F Benutzeranmeldung außerhalb der autorisierten Stunden
    0xC0000070 Benutzeranmeldung von nicht autorisierten Arbeitsstationen
    0xC0000071 Benutzeranmeldung mit abgelaufenen Kennwörtern
    0xC0000072 Benutzeranmeldung bei Konto durch Administrator deaktiviert
    0XC00000DC Gibt an, dass sich der Sam-Server im falschen Zustand befand, um den gewünschten Vorgang auszuführen.
    0XC0000133 Zu viele Synchronisierungsuhren zwischen DC und anderen Computern
    0XC000015B Dem Benutzer wurde der angeforderte Anmeldetyp (auch als "Anmeldung rechts" bezeichnet) auf diesem Computer nicht gewährt.
    0XC000018C Die Anmeldeanforderung ist fehlgeschlagen, da die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne fehlgeschlagen ist.
    0XC0000192 Es wurde versucht, sich zu anmelden, aber der Netlogon-Dienst wurde nicht gestartet.
    0xC0000193 Benutzeranmeldung mit abgelaufenen Konten
    0XC0000224 Der Benutzer muss bei der nächsten Anmeldung das Kennwort ändern.
    0XC0000225 Offensichtlich ein Fehler in Windows und kein Risiko
    0xC0000234 Benutzeranmeldung mit gesperrtem Konto
    0XC00002EE Fehlerursache: Während der Anmeldung ist ein Fehler aufgetreten
    0XC0000413 Anmeldefehler: Der Computer, bei dem Sie sich anmelden, ist durch eine Authentifizierungsfirewall geschützt. Das angegebene Konto darf sich nicht am Computer authentifizieren.
    0x0 Status OK.

Hinweis

Um die Bedeutung anderer Status- oder Unterstatuscodes zu sehen, können Sie auch in der Fensterkopfdatei "ntstatus.h" in Windows SDK nach Statuscode suchen.

Weitere Informationen: https://dev.windows.com/en-us/downloads

  • Unterstatus [Typ = HexInt32]: zusätzliche Informationen zu Anmeldefehlern. Die gängigsten Unterstatuscodes, die in tabelle 12 aufgeführt sind. Windows Statuscodes für die Anmeldung."

Prozessinformationen:

  • Aufruferprozess-ID [Typ = Zeiger]: hexadezimale Prozess-ID des Prozesses, der die Anmeldung versucht hat. Die Prozess-ID (PID) ist eine Zahl, die vom Betriebssystem verwendet wird, um einen aktiven Prozess eindeutig zu identifizieren. Wenn Sie die PID eines bestimmten Prozesses sehen möchten, können Sie beispielsweise den Task-Manager verwenden (Registerkarte “Details”, Spalte “PID”):

    Task manager illustration

    Wenn Sie den Hexadezimalwert in einen Dezimalwert konvertieren, können Sie ihn mit den Werten im Task-Manager vergleichen.

    Sie können diese Prozess-ID auch zu anderen Ereignissen mit einer Prozess-ID in Beziehung setzen, z.B. "4688: Es wurde ein neuer Prozess erstellt.”Prozess-Information\Neue Prozess-ID.

  • Caller Process Name [Type = UnicodeString]: vollständiger Pfad und der Name der ausführbaren Datei für den Prozess.

Netzwerkinformationen:

  • Arbeitsstationsname [Typ = UnicodeString]: Computername, von dem aus der Anmeldeversuch ausgeführt wurde.

  • Quellnetzwerkadresse [Typ = UnicodeString]: IP-Adresse des Computers, von dem aus der Anmeldeversuch ausgeführt wurde.

    • IPv6-Adresse oder ::ffff:IPv4-Adresse eines Clients.

    • ::1 oder 127.0.0.1 bedeutet localhost.

  • Quellport [Typ = UnicodeString]: Quellport, der für Anmeldeversuche vom Remotecomputer verwendet wurde.

    • 0 für interaktive Anmeldungen.

Detaillierte Authentifizierungsinformationen:

  • Anmeldevorgang [Typ = UnicodeString]: der Name des vertrauenswürdigen Anmeldeprozesses, der für den Anmeldeversuch verwendet wurde. Weitere Informationen finden Sie unter Ereignis "4611: Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsautorität registriert".

  • Authentication Package [Type = UnicodeString]: Der Name des Authentifizierungspakets, das für den Anmeldeauthentifizierungsprozess verwendet wurde. Standardpakete, die beim LSA-Start geladen werden, befinden sich im Registrierungsschlüssel "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig". Andere Pakete können zur Laufzeit geladen werden. Wenn ein neues Paket geladen wird, wird"4610: Ein Authentifizierungspaket wurde von der lokalen Sicherheitsautorität geladen" (in der Regel für NTLM) oder "4622: Ein Sicherheitspaket wurde von der lokalen Sicherheitsautorität geladen" (in der Regel für Kerberos) protokolliert, um anzugeben, dass ein neues Paket zusammen mit dem Paketnamen geladen wurde. Die gängigsten Authentifizierungspakete sind:

    • NTLM – Authentifizierung der NTLM-Familie

    • Kerberos – Kerberos-Authentifizierung.

    • Aushandeln – Das Aushandlungssicherheitspaket wählt zwischen Kerberos- und NTLM-Protokollen aus. Negotiate selects Kerberos unless it cannot be used by one of the systems involved in the authentication or the calling application did not provide sufficient information to use Kerberos.

  • Transited Services [Type = UnicodeString] [Kerberos-only]: die Liste der übertragenen Dienste. Übertragene Dienste werden aufgefüllt, wenn die Anmeldung ein Ergebnis eines S4U-Anmeldevorgangs (Service for User) war. S4U ist eine Microsoft-Erweiterung für das Kerberos-Protokoll, die es einem Anwendungsdienst ermöglicht, ein Kerberos-Dienstticket im Namen eines Benutzers abzurufen – am häufigsten erfolgt dies von einer Front-End-Website, um im Auftrag eines Benutzers auf eine interne Ressource zuzugreifen. Weitere Informationen zu S4U finden Sie unter https://msdn.microsoft.com/library/cc246072.aspx

  • Paketname (nur NTLM) [Type = UnicodeString]: Der Name des LAN Manager-Unterpakets (NTLM-family protocol name), das während des Anmeldeversuchs verwendet wurde. Mögliche Werte:

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      Nur aufgefüllt, wenn "Authentifizierungspaket" = "NTLM" ist.

  • Schlüssellänge [Typ = UInt32]: die Länge des NTLM-Sitzungssicherheitsschlüssels. In der Regel hat sie eine Länge von 128 Bit oder 56 Bit. Dieser Parameter ist immer 0, wenn "Authentication Package" = "Kerberos" ist, da er für das Kerberos-Protokoll nicht anwendbar ist. Dieses Feld hat auch den Wert "0", wenn Kerberos mithilfe des Negotiate-Authentifizierungspakets ausgehandelt wurde. ****

Empfehlungen für die Sicherheitsüberwachung

Für 4625(F): Ein Konto konnte sich nicht anmelden.

  • Wenn Sie über einen vordefinierten "Prozessnamen" für den in diesem Ereignis gemeldeten Prozess verfügen, überwachen Sie alle Ereignisse mit "Prozessname" nicht gleich Ihrem definierten Wert.

  • Sie können überwachen, ob sich "Prozessname" nicht in einem Standardordner (z. B. nicht in System32- oder Programmdateien) oder in einem eingeschränkten Ordner (z. B. temporäre Internetdateien) befindet.

  • Wenn Sie eine vordefinierte Liste von eingeschränkten Teilzeichenfolgen oder Wörtern in Prozessnamen haben (z. B. "mimikatz" oder "cain.exe"), suchen Sie nach diesen Teilzeichenfolgen in "Prozessname".

  • Wenn "Antragsteller\Kontoname" ein Name des Dienstkontos oder Benutzerkontos ist, kann es hilfreich sein zu untersuchen, ob dieses Konto berechtigt (oder erwartet) wird, die Anmeldung für "Konto für das die Anmeldung fehlgeschlagen ist\Sicherheits-ID" anzufordern.

  • Um zu überwachen, ob ein Konflikt zwischen dem Anmeldetyp und dem Konto besteht, das ihn verwendet (z. B. wenn der Anmeldetyp 4-Batch oder 5-Dienst von einem Mitglied einer administrativen Domänengruppe verwendet wird), überwachen Sie den Anmeldetyp in diesem Ereignis.

  • Wenn Sie über eine hochwertige Domäne oder ein lokales Konto verfügen, für das Sie jede Sperre überwachen müssen, überwachen Sie alle 4625-Ereignisse mit der "Betreff\Sicherheits-ID", die dem Konto entspricht.

  • Es wird empfohlen, alle 4625-Ereignisse für lokale Konten zu überwachen, da diese Konten in der Regel nicht gesperrt werden sollten. Die Überwachung ist besonders relevant für kritische Server, administrative Arbeitsstationen und andere hochwertige Ressourcen.

  • Es wird empfohlen, alle 4625-Ereignisse für Dienstkonten zu überwachen, da diese Konten nicht gesperrt oder daran gehindert werden sollten, zu funktionieren. Die Überwachung ist besonders für kritische Server, administrative Arbeitsstationen und andere hochwertige Ressourcen relevant.

  • Wenn Ihre Organisation Anmeldungen auf folgende Weise einschränkt, können Sie dieses Ereignis verwenden, um es entsprechend zu überwachen:

    • Wenn die "Konto für die Anmeldung fehlgeschlagen \Sicherheits-ID" nie verwendet werden soll, um sich von den spezifischen Netzwerkinformationen\Workstation Nameanzumelden.

    • Wenn ein bestimmtes Konto, z. B. ein Dienstkonto, nur aus Ihrer internen IP-Adressliste (oder einer anderen Liste von IP-Adressen) verwendet werden soll. In diesem Fall können Sie die Netzwerkinformation\Quellnetzwerkadresse überwachen und die Netzwerkadresse mit Ihrer Liste der IP-Adressen vergleichen.

    • Wenn in Ihrer Organisation immer eine bestimmte Version von NTLM verwendet wird. In diesem Fall können Sie dieses Ereignis verwenden, um den Paketnamen (nur NTLM) zu überwachen, z. B. um Ereignisse zu suchen, bei denen "Paketname" (nur NTLM) nicht mit NTLM V2identisch ist.

    • Wenn NTLM in Ihrer Organisation nicht verwendet wird oder nicht von einem bestimmten Konto verwendet werden sollte (Neue Anmelde-\Sicherheits-ID). Überwachen Sie in diesem Fall alle Ereignisse, bei denen das Authentifizierungspaket NTLM ist.

    • Wenn das Authentifizierungspaket NTLM ist. Überwachen Sie in diesem Fall die Schlüssellänge nicht gleich 128, da alle Windows Betriebssysteme ab Windows 2000 die 128-Bit-Tastenlänge unterstützen.

    • Wenn der Anmeldevorgang nicht aus einer Liste der vertrauenswürdigen Anmeldeprozesse stammt.

  • Überwachen Sie alle Ereignisse mit den Feldern und Werten in der folgenden Tabelle:

    Feld Zu überwachenden Wert
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0XC000005E – "Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu warten."
    Dieses Problem ist in der Regel kein Sicherheitsproblem, kann aber ein Infrastruktur- oder Verfügbarkeitsproblem sein.
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC0000064 – "Benutzeranmeldung mit falsch geschriebenen oder ungültigen Benutzerkonten".
    Insbesondere wenn Sie mehrere dieser Ereignisse in einer Zeile erhalten, kann dies ein Zeichen für einen Benutzerenumerationsangriff sein.
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC000006A – "Benutzeranmeldung mit falsch geschriebenen oder ungültigen Kennwörtern" für kritische Konten oder Dienstkonten.
    Achten Sie insbesondere auf eine Reihe solcher Ereignisse in einer Zeile.
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0XC000006D – "Dies ist entweder auf einen ungültigen Benutzernamen oder falsche Authentifizierungsinformationen zurückzuführen" für kritische Konten oder Dienstkonten.
    Achten Sie insbesondere auf eine Reihe solcher Ereignisse in einer Zeile.
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC000006F – "Benutzeranmeldung außerhalb der autorisierten Stunden".
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC0000070 – "Benutzeranmeldung von nicht autorisierten Arbeitsstationen".
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC0000072 – "Benutzeranmeldung bei konto deaktiviert durch Administrator".
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0XC000015B – "Dem Benutzer wurde der angeforderte Anmeldetyp (auch als Anmeldung rechts bezeichnet) auf diesem Computer nicht gewährt".
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0XC0000192 – "Es wurde versucht, sich zu anmelden, aber der Netlogon-Dienst wurde nicht gestartet".
    Dieses Problem ist in der Regel kein Sicherheitsproblem, kann aber ein Infrastruktur- oder Verfügbarkeitsproblem sein.
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0xC0000193 – "Benutzeranmeldung mit abgelaufenen Konten".
    Fehlerinformationen\Status oder
    Fehlerinformationen\Unterstatus
    0XC0000413 – "Anmeldefehler: Der Computer, auf dem Sie sich anmelden, wird durch eine Authentifizierungsfirewall geschützt. Das angegebene Konto darf sich nicht am Computer authentifizieren."