Fragensteller
2008 r2 DomäneLogon Events überwachen

Frage
-
Hallo
Ich habe hier eine Domäne mit Server 2008 R2 Domaincontrollern und XP bzw Windows 7 als Clients.
Leider finde ich keine Möglichkeit, Logon Versuche von den Domain Usern am DC bzw an der Domäne zu sehen.
Die Ereignisanzeige gibt da ja nicht viel her. Die Audit Policies sind in einer GPO gesetzt. So wie ich das bis jetzt verstande habe, werden die Logon Events dann aber nur auf den Clients gelogt.
Ich möchte einfach nur sehen, wenn sich ein User an der Domäne angemeldet hat und es ist schief gegangen (falsches Passwort, falscher User Name, ...) .
Alle Antworten
-
Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:
Leider finde ich keine Möglichkeit, Logon Versuche von den Domain Usern am DC bzw an der Domäne zu sehen.
Die Ereignisanzeige gibt da ja nicht viel her. Die Audit Policies sind in einer GPO gesetzt. So wie ich das bis jetzt verstande habe, werden die Logon Events dann aber nur auf den Clients gelogt.Das wird IMHO auf den jeweiligen DCs ins Eventlog geschrieben. Du mußt
also jede DC abklappern.Servus
Winfried
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/ -
-
Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:
Ich schaue ja auf dem Anmeldeserver im Eventlog nach. Leider finde ich dort keine Ereignisse wegen falscher Anmeldung, obwohl definitiv fehlgeschlagene Anmeldungen von Usern vorgekommen sind. Nach welchen ID´s muß ich denn suchen bzw filtern ?
Hier findest Du Details:
http://www.msxfaq.de/tools/trackloginevents.htmServus
Winfried
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/ -
Das sieht mir alles sehr nach 2003 Server aus.
Wie schon gesagt, die Audit Einstellungen in der GPO sind gemacht.
Es tauchen nur relevante Ereignisse mit der ID 4625 auf, die jedoch nichts mit den Anmeldungen der User zu tun haben.
Auf den "Alten" 2003 Servern, welche als Domaincontrollern liefen, stand da mehr drin.
-
Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:
Das sieht mir alles sehr nach 2003 Server aus.
Das kann sein.
Wie schon gesagt, die Audit Einstellungen in der GPO sind gemacht.
Kommen die Einstellungen auch auf den Domain Controllern an? RSOP.MSC
an einem DC sollte helfen.Servus
Winfried
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/ -
Hallo
in Server 2008 R2 wurden ein paar Neuerungen zur Sicherheitsüberwachung eingeführt. Was wurde genau konfiguriert? Wurde die untere Richtlinie konfiguriert?
Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Erweiterte Überwachungsrichtlinienkonfiguration - Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt - Anmelden/Abmelden - Anmelden überwachen. Hier Erfolg & Fehler ausgewählt?
Gruß
Andrei -
Moin
Die Erweiterte Überwachungsrichtlinienkonfiguration greift doch erst ab Vista aufwärts. Die meißten Clientsysteme sind aber XP.
Da greift die Einstellung doch gar nicht. Mich interressiert einfach nur, wenn sich ein User an der Domain anmeldet und dort ein Fehler (username, password) auftritt.