none
Logging - Wer hat Passwort geändert... RRS feed

 > 

Antworten

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Gibt es dazu einen Ereignisprotokolleintrag
     
    Ja, wenn auf den DCs das Auditing aktiviert ist.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Donnerstag, 23. Oktober 2014 12:08
    |
  • Question
    Anmelden
    1
    Anmelden
    > Gibt es dazu einen Ereignisprotokolleintrag
     
    Ja, wenn auf den DCs das Auditing aktiviert ist.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Die passende EventID müsste die 4723 im Security Log sein.
    Donnerstag, 23. Oktober 2014 13:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wenn das Thema für dich wichtig ist kann ich dir empfehlen mal einen Blick auf die PowerBroker Suite von BeyondTrust zu werfen. Dort gibt es etwas besseren AD Auditing und es ist gar nicht mal so teuer.

    VG

    Sebastian

    Freitag, 24. Oktober 2014 08:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Sebastian,

    es gibt ja viele Tools zum "lückenlosen" AD-Management, z. B. 8man.

    Wichtig ist relativ - ein Ergebnis über das Ereignisprotokoll wäre sicher der Anfang.

    Aber scheinbar habe ich bei Aktivieren des Auditing nicht alles korrekt eingestellt, denn die ID 4723 wird nicht geloggt.

    Andere Loggins, wie das Anlegen, Ändern und Löschen von Gruppen geht tadellos aber Kennwortänderungen bzw. wer ein Kennwort ändert bekomme ich derzeit noch nicht protokolliert.

    Was genau müsste denn in den lokalen Richtlinien für die DCs (also in der Default Domain Controllers GPO) definiert werden?

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


    • Bearbeitet H.Haas Freitag, 24. Oktober 2014 09:19
    Freitag, 24. Oktober 2014 09:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo H.Haas,

    dafür muss auf den Domänencontrollern "Audit account management" aktiviert sein. Die Details dazu findest du hier: http://technet.microsoft.com/en-us/library/cc737542%28v=ws.10%29.aspx

    Gruß,

    Heyko

    Freitag, 24. Oktober 2014 09:37
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Heyko,
    hallo Sebastian,

    trotz als Antwort markiert, muss ich nochmals nachhaken...

    Das Auditing ist per GPO in der Default Domain Controller Policy für erfolgreiche und fehlgeschlagene Verzeichnisdienstzugriffe konfiguriert.

    Im Abonnement habe ich die ID 4723 als zu sammelndes Ereignis definiert.

    Trotz eines heute Morgen auf einem DC eingesehenen fehlgeschlagenen Ereignisses 4723 wird dies in der Sammlung nicht angezeigt und auch meine durch mich initiierte Änderung eines Passwortes für einen anderen Benutzer ebenfalls nicht.

    Lediglich erfolgreiche Änderung, bei denen der Antragsteller und das Zielkonto identisch ist, werden "gesammelt".

    Was mach ich falsch?

    Gaaaanz wichtig wäre uns, dass wir sehen, welcher User (in dem falle Admin) das Passwort für welchen User geändert hat - also Antragsteller nicht identisch mit Zielkonto.

    Gibt es da eine andere Ereignis-ID, die zu sammeln ist?

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

    Montag, 27. Oktober 2014 11:21
    |