none
Überwachung der Serveranmeldungen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe mal eine Frage zu einer W2K8 R2 Umgebung.

    Ich habe MBSA zur Prüfung ausgeführt. Anschließend stellte ich fest, dass die Überwachung der Anmeldeprozesse nicht aktiv ist und das man Diese aktivieren sollte.

    Nun habe ich diese aktiviert und stelle mir gerade die Frage wo ich die Informationen dazu finde.

    Ich habe dann in die Ereignisanzeige unter Sicherheit nachgeschaut und festgestellt, dass die Anmeldung zuvor ohnehin schon protokolliert wurde. (Ereignis: anmelden; Infos wie Account, Arbeitsplatzstation, etc.)

    Wo ist denn hier der Unterschied und wo finde ich dann das richtige Protokoll?? Würde gerne sehen welcher Benutzer versucht sich am Server von welcher Arbeitsplatzstation aus anzumelden.

    Danke

    Freitag, 22. November 2013 20:11
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Wo hast du denn die Überwachung der Anmeldeereignisse eingestellt? Auf den DC´s oder auf den Mitgliedscomputern?

    Die Anmeldeereignisse werden auf den DC´s (wenn richtig konfiguriert) geloggt, und stehen dann im dortigen Ereignislog zur Verfügung, wenn sich jemand lokal an einer Arbeitsstation anmeldet dan wird das natürlich nur dort geloggt.

    Mehr dazu hier (inkl. der Tabelle was welche ID bedeutet): http://technet.microsoft.com/de-de/library/cc787567%28v=ws.10%29.aspx

    freundliche Grüße Thomas


    Samstag, 23. November 2013 10:43
    |
  • Question
    Anmelden
    0
    Anmelden

    DC's und Memberserver, um die Anmeldungen an den Maschinen zu protokollieren.

    Die Einstellungen in den GPPs habe ich unter Computer Einstellungen - Windows - Sicherheit - Lokale Sicherheitseinstellungen - Lokale Richtlinien - Überwachung eingestellt. Laut MS sollte man hier 7 Richtlinien aktivieren. MBSA hatte mir zuvor gemeldet, dass diese nicht aktiv sind.

    Hatte aber das Gefühl, dass diese bereits in den Ereignissen protokolliert wurden, da ich dort bereits Anmeldeereignisse gefunden hatte.

    Ich gehe aber davon aus, dass ich nun neue ID's protokolliert bekomme, die vorher tatsächlich nicht aktiv waren oder sehe ich hier etwas falsch?

    Samstag, 23. November 2013 21:01
    |