Remove From My Forums

Authentifizierungsanfragen gegen das Active Directory prüfen und auslesen

Frage
0

Anmelden

Hallo zusammen,

wir würden gerne Prüfen, welche Anwendungen aus der Domäne sich am Active Directory authentifizieren. Im zweiten Schritt soll das Kennwort des Domain Admins aus Sicherheitsgründen geändert werden, da wir jedoch das Risiko nicht eingehen können, Systeme blind lahmzulegen, würden wir gerne herausfinden, von welchen Maschinen eine Authentifizierungsanfrage gegen das AD für einen bestimmten User kommt.

Gibt es hierfür bereits Erfahrungen oder Tipps?

Besten Dank

Donnerstag, 14. April 2016 07:20

Antworten

|

Zitieren

Antworten

1

Anmelden
Hi

Schau Dir mal die folgenden RegKeys auf einem DC an:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
"16 LDAP Interface Events"=dword:00000002

Ansonsten findest Du diverse Anleitungen bei Dr. Google dazu

Ich habe diese Werte gesetzt und sammle diese Events. Da wir die Logs von mehreren DC's auswerten möchten, haben wir dies mittels SPLUNK umgesetzt. Die Auswertung ist so ziemlich einfach.

Dell bietet eine noch einfacher Lösung mittels AD Change Auditor, kostet aber etwas mehr.

Ansonsten musst die die Auswertung manuell machen... was sehr Aufwendig ist.

Gruss, Dani
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 25. April 2016 08:57
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Mittwoch, 27. April 2016 08:18
Donnerstag, 14. April 2016 08:19

Antworten

|

Zitieren
1

Anmelden
Am 14.04.2016 schrieb MikeProfi:

Im zweiten Schritt soll das Kennwort des Domain Admins aus Sicherheitsgründen geändert werden, da wir jedoch das Risiko nicht eingehen können, Systeme blind lahmzulegen, würden wir gerne herausfinden, von welchen Maschinen eine Authentifizierungsanfrage gegen das AD für einen bestimmten User kommt.

Mit dem in diesem Artikel gen. Script kannst Du abfragen, auf welchem
Server welches Konto für welche Aufgaben benutzt wird:
http://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/

Servus
Winfried

WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 25. April 2016 08:57
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Mittwoch, 27. April 2016 08:18
Freitag, 15. April 2016 04:54

Antworten

|

Zitieren

Alle Antworten

1

Anmelden
Hi

Schau Dir mal die folgenden RegKeys auf einem DC an:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
"16 LDAP Interface Events"=dword:00000002

Ansonsten findest Du diverse Anleitungen bei Dr. Google dazu

Ich habe diese Werte gesetzt und sammle diese Events. Da wir die Logs von mehreren DC's auswerten möchten, haben wir dies mittels SPLUNK umgesetzt. Die Auswertung ist so ziemlich einfach.

Dell bietet eine noch einfacher Lösung mittels AD Change Auditor, kostet aber etwas mehr.

Ansonsten musst die die Auswertung manuell machen... was sehr Aufwendig ist.

Gruss, Dani
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 25. April 2016 08:57
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Mittwoch, 27. April 2016 08:18
Donnerstag, 14. April 2016 08:19

Antworten

|

Zitieren
1

Anmelden
Am 14.04.2016 schrieb MikeProfi:

Im zweiten Schritt soll das Kennwort des Domain Admins aus Sicherheitsgründen geändert werden, da wir jedoch das Risiko nicht eingehen können, Systeme blind lahmzulegen, würden wir gerne herausfinden, von welchen Maschinen eine Authentifizierungsanfrage gegen das AD für einen bestimmten User kommt.

Mit dem in diesem Artikel gen. Script kannst Du abfragen, auf welchem
Server welches Konto für welche Aufgaben benutzt wird:
http://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/

Servus
Winfried

WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
GPO's: http://www.gruppenrichtlinien.de
NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 25. April 2016 08:57
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Mittwoch, 27. April 2016 08:18
Freitag, 15. April 2016 04:54

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Authentifizierungsanfragen gegen das Active Directory prüfen und auslesen

Frage

Antworten

Alle Antworten