none
Überwachungsrichtlinien nur für dedizierte Server RRS feed

  • Frage

  • Hi,

    Ich arbeite daran Anmeldeversuche in unserer Domain nur für Server, darunter auch Domaincontroller, zu loggen.

    Nun habe ich bereits eine Policy erstellt, in welcher ich die Überwachungsrichtlinie für Anmeldeereignisse aktiviert habe. Diese Policy habe ich an die OUs der zu überwachenden Server gebunden.

    Allerdings tauchen so keine Anmeldeversuche, egal ob erfolgreich oder fehlerhaft, im Syslog auf. Weder im Syslog der Domaincontroller als auch im Syslog der zu überwachenden Server.

    Also habe ich im Bereich der erweiterten Überwachungsrichtlinienkonfiguration die Unterkategorie "Anmelden überwachen" aktiviert. Damit habe ich aber nun das Problem das im Syslog der Domaincontroller alle Anmeldeversuche aller Computer in der Domain erfasst werden.

    Ich gehe davon aus das dies passiert da ich die Policy auch an die Domaincontroller gebunden habe und diese nunmal für die Authentifzierung aller Computer in der Domain zuständig sind.

    Meine Frage ist nun ob es eine Möglichkeit gibt das Logging so zu konfigurieren das nur die Anmeldeversuche an den Servern, welche ich überwachen möchte, geloggt wird.

    Es handelt sich bei allen Servern um "Windwos Server 2016 Datacenter".

    freundliche Grüße

    Montag, 21. Januar 2019 12:03

Alle Antworten

  • Moin,

    wenn Du unter "Anmeldeversuche" auch die gescheiterten verstehst, dann kannst Du sie ja nur auf Domain Controllern loggen, denn dort werden die Anmeldungen bestätigt - oder halt abgelehnt.

    Ansonsten ist es der Unterschied zwischen "Audit Logon" und "Audit Account Logon", hier Lesestoff: https://www.faq-o-matic.net/2015/10/07/audit-account-logon-vs-logonlogoff/


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 21. Januar 2019 12:11
  • Danke für die schnelle Antwort.

    Mir geht es schon um die Anmeldeversuche direkt an den Machinen.

    Mein Problem ist aber nicht das ich die falschen Informationen geloggt bekomme, sondern das ich von allen Maschinen der Domain die Anmeldeversuche bekomme und nicht nur von denen welche ich überwachen möchte. Also jeden Laptop und Client-PC in der Domain. Das sprengt mir das Log und erschwert mir die Übersicht.

    Montag, 21. Januar 2019 12:56
  • Da wirst exportieren und filtern müssen...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 21. Januar 2019 15:06
    Beantworter