Hallo,
habe folgendes Problem und bräuchte eure Unterstützung: Mitarbeiter „X“ kündigt verärgert an einem Tag gegen Ende Juni direkt beim CEO. Mitarbeiter „X“ war Mitglied der Geschäftsführung. Darauf hin beauftragt der CEO, Firmenanwalt und Compliance Officer den Mitarbeiter „Y“ mit der Sperrung des Accounts. Mitarbeiter „Y“ ist IT-Leiter und nimmt die Sperre durch Reset des Passworts im AD und setzen der Option „User must change password at next logon“ vor. Dies war gängige Praxis in der Firma, Account Disable Funktion aufgrund Outsourcing nicht möglich.
Ein Monat später wird in den Logdateien des Domain Controllers folgendes gefunden:
.lastLogonTimestamp des Accounts von Mitarbeiter X wurde aktualisiert (ca. 1 Monat nach Sperrung).
Das Flag „Zwang das Passwort zu ändern nach erfolgreichen Login“ wurde nicht gelöscht, somit wurde nach dem Login mit dem gültigen PW kein neues PW vergeben und der Login war nicht vollständig
Es gibt keinen Eintrag „badPasswordTime“ somit keine Eingabe eines falschen PW.
Mitarbeiter Y wird nun vorgeworfen er hätte sich mit dem Account des Mitarbeiter X eingeloggt. Mitarbeiter Y weiß aber das PW selbst nicht da er es sich nicht gemerkt hat nach dem Reset.
Mitarbeiter Y wird daraufhin fristlos entlassen.
Hat jemand von euch eine Idee wie es zur Aktualisierung des „.lastLogonTimestamp“ gekommen sein könnte?
Ich habe selbst schon ein wenig recherchiert und einen Bug des OWA gefunden bei dem der Login Token noch nach Monaten und auch nach PW Reset noch gültig war. Aber richtige Beweise und eine Erklärung eines Profis die vor Gericht vorgetragen werden könnte fehlt mir nach wie vor.
Ich wäre für Hilfe sehr dankbar, da es um Erhalt des Arbeitsplatzes von Mitarbeiter Y bzw. eine Abfindung für diesen geht.