locked
W Server 2008 R2 n'écrit pas le username sur le journal Sécurité alors que W Server 2003 si RRS feed

  • Discussion générale

  • Bonjour,

    Nous avons 2 controlleurs de domaine : un en Windows Server 2003 et l'autre que nous avons déjà passé en Windows Server 2008 R2.

    J'ai fait une application .NET qui recupère les evenements event logs Système, Securité et Applications à partir de nos serveurs de domaine pour ainsi pister un compte (ouvertures/fermetures de session).

    Mon problème c'est que alors que sur le serveur 2008 R2 je n'arrive plus de recupérer le UserName alors que sur le serveur resté pour le moment en 2003 j'arrive toujours.

    Les stratégies GPO sont identiques sur tous les controlleurs de doamine bien entendu. J'ai vérifié que les stratégies locales --> stratégies d'audit -->auditer les evenements de connexion sont bien identiques entre les deux controlleurs.

    Quand je regarde sur le journal Securité Windows --> Propriétés d'un evenement d'ouverture ou fermeture de session, sur 2008 R2 j'ai le champ Utilisateur=N/A alors que sur 2003 j'ai ce champs correctement reinseigné.

    Tant que ce champ sera non reinseigné sur 2008 R2 je ne pourrai pas le récupérer sur mon application.

    Savez-vous s'il faut faire quelque chose en plus pour que Windows Server 2008 R2 écrive sur le journal Sécurité le nom de l'utilisateur?

    Merci beaucoup de vos lumières!

    Bonne journée,

    susana


    susana
    mercredi 12 mai 2010 10:00

Toutes les réponses

  • Vous pouvez configurer ce paramètre de sécurité en ouvrant la stratégie appropriée et en développant l'arborescence de la console comme suit : Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d'audit

    Pour plus d'informations: http://technet.microsoft.com/fr-fr/library/cc787176%28WS.10%29.aspx

    Cordialement


    Anouar KETAT CompTIA A+, Network+, Security+. Symantec (SCTA, Firewall & Integrated Security Appliances Solutions and Virus Protection & Integrated Client Security Solutions). Microsoft :MCSA/MCSE Messaging & Security, MCDBA , MCTS / MCITP et MCT (Transcript ID: 730218 Access Code: WelcomeMCP). VMware (VCP, VMware Certified Professionals). Linux Professional Institute Certification.
    mercredi 12 mai 2010 20:04
  • Bonjour Susana,

    Vous avez essayé les solutions proposées ?

    Merci de nous tenir au courant,

    Cordialement,

    Roxana


    Roxana Panait, MSFT ________ Votez l’article qui vous est utile ou postez un pour participer au concours : Appel a la contribution! Publiez un tip ou un petit tutorial (comment faire) sur la technologie que vous connaissez le mieux ! - http://social.technet.microsoft.com/Forums/fr-FR/1635/thread/c0fc6847-a4b0-4253-85e9-8eac0cc95aa0
    vendredi 14 mai 2010 08:20
  • Bonjour Anouar, Bonjour Roxane,


    Désolée d'avoir mis longtemps à vous répondre, on a du éteindre nos serveurs mercredi soir et on vient juste de les rallumer.

    J'ai ouvert deux fenêtres en parallèle sur les stratégies de sécurité locales, Stratégies d'audit, sur mes deux contrôleurs
     de domaine 2008 R2 et 2003 R2, pour ainsi re-vérifier encore une fois comme vous me l'avez demandé, Anouar, si les configurations sont
     correctes. Je vois exactement la même chose sur mes 2 serveurs : Auditer les évenements de connexion= Réussite, échec.

    Peut être je me suis mal exprimée.

    Mon problème c'est que sous Server 2008 R2, quand j'ouvre le journal Windows Sécurité --> Propriétés d'un eventID=4624 (ouverture de session),
    sur l'onglet "Général", textbox avec l'ascenseur, je lis :


    L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
     ID de sécurité :  NULL SID
     Nom du compte :  -
     Domaine du compte :  -
     ID d’ouverture de session :  0x0

    Type d’ouverture de session :   3

    Nouvelle ouverture de session :
     ID de sécurité :  Système
     Nom du compte :  monUserName$
     Domaine du compte :  monDomaine
     ID d’ouverture de session :  l'ID
     GUID d’ouverture de session :  le guid

    Par contre, toujours dans la fenêtre Propriétés, onglet Général, en dessous la textbox avec l'ascenseur, c'est marqué Utilisateur=N/A.

    Quand dans mon appli, namesapce=System.Diagnostic, classe EventLog, journal Security, Propriété Entries (ce qui me donne tout le contenu du EventLog securité), je récupère UserName=N/A.


    J'arrive quand même d'avoir le userName correct mais il est dans le champs Message qui est énorme.

    Il va sans dire que sur mon serveur Windows 2003 R2 tout se passe correctement et l'UserName est correctement valorisé là où il faut !
    (Je vous remarque que l'eventID est différent pour les évenements d'ouverture et fermeture de session entre 2008 R2 et 2003 R2 mais bon, peu importe).

    Je ne crois pas que mon problème soit du à une mauvaise config de l'audit. Mais je ne comprends pas pourquoi 2008 R2 n'arrive pas de coller le bon username au bon endroit.

    Merci énormement de votre aide,
    Bien cordialement,
    susana


    susana
    lundi 17 mai 2010 07:49