2008 r2 DomäneLogon Events überwachen

Alle Antworten

• 

  

  0

  Anmelden

  Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:

  Leider finde ich keine Möglichkeit, Logon Versuche von den Domain Usern am DC bzw an der Domäne zu sehen.
  
  Die Ereignisanzeige gibt da ja nicht viel her. Die Audit Policies sind in einer GPO gesetzt. So wie ich das bis jetzt verstande habe, werden die Logon Events dann aber nur auf den Clients gelogt.

  Das wird IMHO auf den jeweiligen DCs ins Eventlog geschrieben. Du mußt
  also jede DC abklappern.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 21. Oktober 2010 10:40

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich schaue ja auf dem Anmeldeserver im Eventlog nach. Leider finde ich dort keine Ereignisse wegen falscher Anmeldung, obwohl definitiv fehlgeschlagene Anmeldungen von Usern vorgekommen sind. Nach welchen ID´s muß ich denn suchen bzw filtern ?

  Donnerstag, 21. Oktober 2010 10:57

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:

  Ich schaue ja auf dem Anmeldeserver im Eventlog nach. Leider finde ich dort keine Ereignisse wegen falscher Anmeldung, obwohl definitiv fehlgeschlagene Anmeldungen von Usern vorgekommen sind. Nach welchen ID´s muß ich denn suchen bzw filtern ?

  Hier findest Du Details:
  http://www.msxfaq.de/tools/trackloginevents.htm

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 21. Oktober 2010 11:04

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Das sieht mir alles sehr nach 2003 Server aus.

  Wie schon gesagt, die Audit Einstellungen in der GPO sind gemacht.

  Es tauchen nur relevante Ereignisse mit der ID 4625 auf, die jedoch nichts mit den Anmeldungen der User zu tun haben.

   Auf den "Alten" 2003 Servern, welche als Domaincontrollern liefen, stand da mehr drin.

   

  Donnerstag, 21. Oktober 2010 11:26

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 21.10.2010 schrieb 1 1 0 0 1 0 0 1:

  Das sieht mir alles sehr nach 2003 Server aus.

  Das kann sein.

  Wie schon gesagt, die Audit Einstellungen in der GPO sind gemacht.

  Kommen die Einstellungen auch auf den Domain Controllern an? RSOP.MSC
  an einem DC sollte helfen.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 21. Oktober 2010 11:47

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ist alles OK.

  Donnerstag, 21. Oktober 2010 11:50

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo

  in Server 2008 R2 wurden ein paar Neuerungen zur Sicherheitsüberwachung eingeführt. Was wurde genau konfiguriert? Wurde die untere Richtlinie konfiguriert?

  Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Erweiterte Überwachungsrichtlinienkonfiguration - Systemüberwachungsrichtlinien - Lokales Gruppenrichtlinienobjekt - Anmelden/Abmelden - Anmelden überwachen. Hier Erfolg & Fehler ausgewählt?

  Gruß
  Andrei

  Montag, 25. Oktober 2010 07:56

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Moin

  Die Erweiterte Überwachungsrichtlinienkonfiguration greift doch erst ab Vista aufwärts. Die meißten Clientsysteme sind aber XP.

  Da greift die Einstellung doch gar nicht. Mich interressiert einfach nur, wenn sich ein User an der Domain anmeldet und dort ein Fehler (username, password) auftritt.

  Montag, 25. Oktober 2010 08:28

  Antworten

  |

  Zitieren