none
Exchange Server 2003; mit dem Event ID 1016 einem Administrator beweisen, dass dieser sich unerlaubt Zugriff auf das Postfach seines Vorgesetzten verschafft hätte RRS feed

  • Allgemeine Diskussion

  • Exchange Server 2003 mit SP2

    Guten Tag,


    Von einem externen Dienstleister wird folgende Behauptung aufgestellt:

    Bei einem unerlaubten Zugriff eines Administrators auf ein Postfach seines Vorgesetzten wird das Event ID 1016 nur dann ausgelöst, wenn der Administrator das Postfachelement E-Mail und die darin enthaltenen E-Mails liest. Wenn der Administrator durch den Terminplanungsassistenten auf den Kalender seines Vorgesetzten zugreift wird das Event ID 1016 hingegen nicht ausgelöst.

    Der externe Dienstleister will mit dem Event ID 1016 beweisen, dass sich ein Administrator unerlaubt Zugriff auf die E-Mails seines Vorgesetzten verschafft hat. Ein Auslösen des Event ID 1016 durch den Terminplanungsassistenten wird ausgeschlossen.

    Lt. Technet kann diese Aussage des Dienstleisters allerdings nicht stimmen, da das Event ID 1016 nichts darüber aussagt, ob der Zugriff erfolgreich oder nicht erfolgreich war und es kann auch nicht festgestellt werden,  auf welches Postfachelement der Zugriff war.

    Der Dienstleister will einem Administrator etwas unterstellen, was dieser nicht gemacht hat. Der Dienstleister behauptet einfach, dass bei einem Administrator mit den dazugehörigen Rechten dies so wäre.

    Kann hier jemand eine qualifizierte Aussage machen, welche auch vor Gericht verwendet werden kann?

    Vielen Dank schon im Voraus

    Manfred1992



    • Typ geändert Alex Pitulice Freitag, 21. Dezember 2012 13:18 Warten auf Feedback
    Dienstag, 18. Dezember 2012 11:07

Alle Antworten

  • Hallo,

    ich kann hier jede Menge Aussagen machen - aber ob die vor Gericht Bestand hätten, ist eine andere Geschichte.

    Keiner von uns darf / wird die hier eine rechtliche Beratung geben, da wirst du schon einen Fachanwalt aufsuchen müssen.

    Mich würde eher mal interessieren, wer der Dienstleister ist.

    Sicherlich kann man aus dem Eventid ene Menge Schlüsse ziehen - da ich keinen 2003 mehr zur Verfügung habe, kann ich das nicht gegenprüfen.

    :-o


    Gruß Norbert

    Dienstag, 18. Dezember 2012 16:10
    Moderator
  • Moin,

    Kann hier jemand eine qualifizierte Aussage machen, welche auch vor Gericht verwendet werden kann?

    nein. Da müsstest Du Dich direkt an Microsoft wenden. Das deutsche Technet ist ein User für User-Forum.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 18. Dezember 2012 16:39
  • Hallo,

    Danke für die Info, aber ich habe mich schon an Mircrosoft gewendet, da bekam ich die Antwort, es würde sich bei meiner Frage um einen technischen Support handeln und ich solle mich doch an die Support-Spezialisten (OEM Hersteller usw.) wenden. Damit würde ich dann evtl. bei einem Supporter landen, welcher die gleiche falsche Aussage geben würde.

    Meiner Meinung nach kann die Antwort auf meine Frage nur von Microsoft selbst kommen, so wie Sie es auch schon gesagt haben. Nur wie stellt man das an ohne gleich horende Summen bezahlen zu müssen?

    Vielen Dank

    Manfred1992

    Donnerstag, 20. Dezember 2012 10:44
  • Hallo,

    den Namen des Dienstleisters möchte ich hier nicht nennen. Es handelt sich um einen Dienstleister in Rheinland-Pfalz, welcher ca. 400 Mitarbeiter beschäftigt, welche allerdings ständig wechseln. Also das Klima scheint dort sehr schlecht zu sein.

    Gruß

    Manfred 1992 

    Donnerstag, 20. Dezember 2012 10:46
  • Hallo Manfred1992,

    In diesem Fall wuerde ich den Dienstleister bitten das ueber einen Advisory Case mit dem Microsoft Support abklaeren zu lassen und Dir dann das Ergebnis vorzulegen.

    VG, Timo


    Freitag, 21. Dezember 2012 07:50
    Moderator
  • Hallo Timo,

    vielen Dank für den Tip, dann werde ich es einmal dort versuchen...

    Viele Grüße

    Manfred 1992

    Freitag, 21. Dezember 2012 10:10
  • Hallo,

    ich war mal so frei, das intern anzufragen, hier die Antwort:

    Der Fragesteller könnte folgenden Support-Artikel anführen, der diese Event-ID beschreibt: http://support.microsoft.com/kb/867640 Er sollte sich dann an einen Anwalt und Gutachter/IT-Sachverständigen wenden, unter Berücksichtigung des o.g. Support-Artikels.

    Ich hoffe, dass Euch das weiterhilft!

    Sonst kannst du mich gerne kontakten, ich habe da weitere Möglichkeiten.

    ;)


    Gruß Norbert

    Freitag, 21. Dezember 2012 15:12
    Moderator
  • Hallo,

    vielen Dank für Dein Angebot mich an Dich wenden zu können, leider war ich  8 Wochen in Reha und habe mich erst jetzt so weit wieder stabilisiert um dieses Thema anzugehen. Ich hoffe Du kannst uns weiter helfen.

    Also den Link, den Du mir geschickt hast, ist bekannt und wurde auch vor Gericht schon so vorgetragen. Mit dem Event ID 1016 ist es nicht möglich eine Aussage zu treffen, auf welches Element im Postfach zugegriffen wurde und ob der Zugriff erfolgreich oder nicht erfolgreich war. Auch wird eindeutig beschrieben, dass durch den Kalender oder sonstige Synchronisierungen dieses Event ausgelöst werden kann.

    Das zur Zeit wichtigste an dieser Sache ist die Lüge des externen Dienstleisters, dass er einfach behauptet, dass bei einem Administrator das  Auslösen des Event ID 1016 durch den Terminplanungsassistenten ausgeschlossen wird.

    Soll bedeuten, wenn ein Administrator über den Terminplanungsassistenten die Verfügbarkeit eines Mitarbeiters oder seines Vorgesetzten überprüft wird dieses Event ID 1016 nicht ausgelöst wird.

    Diese Aussage ist eine Lüge, was ich in einer VMWare-Umgebung ausgiebig getestet habe. Der externe Dienstleister will damit dem Gericht einreden, dass die Auslösung der Events ID 1016 durch den einen Administrator eindeutig nur durch den Zugriff auf die E-Mails seines Vorgetzten ausgelöst worden sind. Also entgegen dem eindeutigen Text im Support-Artikel von Microsoft will der externe Supporter mit dem Event ID 1016 gerade doch eindeutig feststellen und beweisen, dass der Administrator die Mails seines Vorgesetzten gelesen hätte.

    Es muss doch irgend wie Möglich sein von einem Microsoft-Fachmann hier eine ganz klare Aussage machen zu können, welche dann auch vor Gericht verwendet werden kann.

    Ich bin jedem Dankbar, der mir hier weiterhelfen kann.

    Vielen Dank schon im Voraus

    Manfred1992

     

    Dienstag, 26. Februar 2013 12:11