Zum Inhalt wechseln


Foto

Anmeldeversuche vs. Anmeldeereignisse


  • Bitte melde dich an um zu Antworten
20 Antworten in diesem Thema

#16 Copykill

Copykill

    Newbie

  • 20 Beiträge

 

Geschrieben 07. September 2007 - 12:02

Hallo, zwar sehr altes Thema aber hier mein Senf dazu. :-)

Ich sage das (Anmeldeereignisse überwachen) richtig ist, da es um Domänenmitglieder geht.

Diese Sicherheitseinstellung bestimmt, ob jede Instanz eines Benutzers, der sich an einem Computer an- oder abmeldet, überwacht wird.

#17 SimonSt

SimonSt

    Newbie

  • 15 Beiträge

 

Geschrieben 30. September 2007 - 14:23

Ich habe gerade ein ähnliches Problem, allerdings mit dem Völk für die 70-292:

AD mit zwei OUs, OU_M und OU_P, diese enthalten jeweils drei untergeordnete OUs.
Es wird vermutet, daß jemand probiert sich mit erratenen Kennwörtern an der Domäne anzumelden. Wie kann ich feststellen, auf welchem Rechner die Anmeldeversuche ausgeführt werden?

Zur Auswahl stehen vier Antworten, zwei davon sind Mumpitz, die anderen beiden sind:

1. Standarddomänenrichtlinie bearbeiten damit fehlgeschlagene Kontoanmeldungen überwacht werden.

2. OU_M und OU_P bearbeiten damit fehlgeschlagene Anmeldungen überwacht werden.

Richtig ist laut Völk Antwort 2, es wird aber leider nicht wirklich erklärt, warum das so ist.
Bei den Möglichkeiten hätte ich mich für 1 entschieden, warum sollte ich das ganze zwei mal konfigurieren, wenn es mit einem mal getan ist?
Laut MS Buch Seite 265 "Wenn Sie Anmeldeereignisse für AD Authentifizierungen überwachen wollen, müssen Sie Einstellungen in Richtlinien konfigurieren, die auf die OU Domain Controllers angewendet werden" wären allerdings beide Antworten falsch.

Kann mich da mal jemand aufklären?

Danke!

#18 mcselede

mcselede

    Junior Member

  • 73 Beiträge

 

Geschrieben 30. September 2007 - 15:08

Hi,

der Schlüssel zum Erfolg liegt in diesem kleinen Wörtchen Standarddomänenrichtlinie.

Die Standarddomänenrichtlinie wird auf alle Server in der Domäne angewendet, daher sollte man diese tunlichst nicht editieren. Microsoft empfiehlt folgende Vorgehensweise:
"Die Standarddomänenrichtlinie sollte nicht bearbeitet werden. Wenn Sie Gruppenrichtlinieneinstellungen auf die gesamte Domäne anwenden möchten, erstellen Sie ein neues Gruppenrichtlinienobjekt, verknüpfen Sie es mit der Domäne, und legen Sie die Einstellungen in diesem Gruppenrichtlinienobjekt fest."

Kannst Du hier aber nochmal genau nachlesen: Technet Microsoft Corporation

Gruß
Status: MCT, MCSE, MCSA, Security+
___________________________
101010

#19 SimonSt

SimonSt

    Newbie

  • 15 Beiträge

 

Geschrieben 02. Oktober 2007 - 07:40

Ah, OK, das habe ich so aus der Völk Antwort nicht erkennen können, danke! :)

Ich habe das ganze jetzt noch mal etwas aufbereitet um mir den Unterschied zwischen Anmeldeereignis und Anmeldeversuch klar zu machen. Hier läuft ein 2003 Server und ein Windows 2000 Client, beide als virtuelle Maschine mit Virtual PC 2004.
Es gibt entweder die Möglichkeit, die Einstellungen über die Default Domain Controllers Policy (DDCP) oder über die Default Domain Policy ((DDP) was man an einem produktiv genutzten System nicht tun sollte, siehe Beitrag von mcselede!) vorzunehmen.
Die Aktivierung von "Anmeldeversuche überwachen" in der DDP führt zu keinem Eintrag im Sicherheitsprotokoll wenn sich der Client am AD anmeldet, weder am Client noch am DC. Die Einstellung "Anmeldeereignisse überwachen" führt zu einem Eintrag (event ID: 528) am Client.
Wenn "Anmeldeversuche überwachen" in der DDCP aktiviert wird, bekomme ich Einträge im Sicherheitsprotokoll des Servers, allerdings sind dies nur 67x IDs, welche von diversen "Ticketanforderungen" berichten. Wenn ich "Anmeldeereignisse überwachen" in der DDCP aktiviere bekomme ich Einträge im Sicherheitsprotokoll des DC, die wohl am meisten Sinn machen, mit der event ID 540. Was mich etwas irritiert ist, daß als letzte Einträge immer welche mit der event ID 538 auftauchen ("Der Abmeldevorgang wurde für einen Benutzer durchgeführt"). Was soll das? Abgemeldet habe ich den Benutzer nicht und der Eintrag folgt direkt, ohne Pause, auf die Anmeldung.
Mir ist auch nicht so ganz klar, wozu die Überwachung der "Anmeldeversuche" gut ist, die Einträge die ich durch die Überwachung der "Anmeldeereignisse" bekomme sind irgendwie aussagekräftiger. :confused:

Danke und Gruß,

Simon

#20 mcselede

mcselede

    Junior Member

  • 73 Beiträge

 

Geschrieben 02. Oktober 2007 - 16:25

Hi,

hier gibt es mal eine ausführliche Erklärung von MS (auch wozu die jeweilige Überwachung gut ist)
http://www.microsoft...g/tcgch03n.mspx

Gruß
Status: MCT, MCSE, MCSA, Security+
___________________________
101010

#21 SimonSt

SimonSt

    Newbie

  • 15 Beiträge

 

Geschrieben 05. Oktober 2007 - 07:08

Hallo,

also ich muß ganz ehrlich sagen, die Infos von MS verwirren mich mehr als das sie mir helfen.
Kann hier nicht mal jemand mit eigenen Worten erklären, wozu ich Anmeldeversuche protokollieren sollte? :confused:

Danke und Gruß,

Simon