takis.ch

15 minutes ago, testperson said:

Du solltest dich ein wenig mit PowerShell - insbesondere den Grundlagen - auseinandersetzen und nicht nur Code "Copy&Pasten". ;)

Bin seit ein Paar Tagen dabei mich mit PowerShell zu beschäftigen und wirklich dankbar für jede eurer Info. Wenn man mit Programmieren nichts am Hut hat, tut man sich etwas schwer die Zusamenhänge zu verstehen.

Vielen Dank für eure Zeit und Geduld.

1 hour ago, testperson said:

Hi,

 

ich brauchte das zuletzt "mal schnell" in ähnlicher Form. Daher Quick'n'Dirty:

$Events = Get-EventLog -LogName Security -InstanceId 4625
foreach($Event in $Events){
    foreach($Line in $($Event.Message -split "`r`n" -replace "`t", "")){
        if(($Line.StartsWith("Kontoname") -or $Line.StartsWith("Account Name")) -and -not $Line.EndsWith("$")){
            $Line
        } elseif($Line.StartsWith("Fehlerursache") -or $Line.StartsWith("Failure Reason")){
            $Line
        } elseif($Line.StartsWith("Quellnetzwerkadresse") -or $Line.StartsWith("Source Network Address")){
            $Line
        }
    }
}

 

Gruß

Jan

Hi Jan,

vielen Dank für deine schnelle Antwort. Folendes wird zurückgegeben:

PS C:\Windows\system32> D:\@Logs\Get-EvantLog-4625.ps1
Account Name:-
Account Name:ADMINISTRATOR
Failure Reason:%%2313
Source Network Address:1.2.3.4
Account Name:-
Account Name:ADMINISTRATOR
Failure Reason:%%2313
Source Network Address:3.4.5.6

Weißt du wocher der erste Eintrag "Account Name:-" erscheint?

Desweiteren habe eine zusätzliche "elseif" Schleife eingefügt...

        } elseif($Line.StartsWith("Account Domain") -or $Line.StartsWith("Account Domain")){
            $Line

bekomme dann folgendes zurück:

Account Name:-
Account Domain:-
Account Name:rqxadmin
Account Domain:
Failure Reason:%%2313
Source Network Address:1.2.3.4

Was mache ich falsch?

Kann man noch den Time stamp des Logeintrags einfügen (TimeGenerated)?

Thx

Wünsche euch allen erst Mal ein gesundes, glückliches und erfolgreiches neues Jahr!

Ich versuche seit einigen Stunden ein PowerShell Script zu erstellen, dass aus dem Security EventLog  folgende Informationen ausgibt (siehe im Anhang rot gekennzeichnete Felder):

EventID, Failure Reason, Logged, Account Name, Source Network Address

Da ich keine Leuchte im Scripting bin, konnte ich nach nächtelanges Suchen die Ausgabe von Account Name und Source Network Address immer noch nicht erreichen.

Hat jemand eine Idee, wie ich das u.s. Script entsprechend erweitern kann? 

################

Param(

# Set EventLog name
    [Parameter(Mandatory=$True)]
    [ValidateSet("Security","System","Application")]
    [String]$EvLogname,

# Set target system server name incl. test connection
    [Parameter(Mandatory=$True)]
    [ValidateScript({Test-Connection -Computername $_ -Quiet -Count 1})]
    [String]$TargetSystem = (hostname),

# Set EventID 
    [Parameter(Mandatory=$True)]
    [ValidateRange(1,9999)]
    [Int]$EventNr
)

Get-EventLog -LogName $EvLogName -ComputerName $TargetSystem | Where-Object EventId -EQ $EventNr | Select -First 20 | Format-Table TimeWritten,InstanceID,Message -AutoSize
################

Für zielführende Vorschläge bin ich euch sehr dankbar.

Viele Grüße

Takis

Hallo zusammen,

ich hoffe ihr könnt mir bei folgender Problemstellung helfen.

Ich habe 5 Member Server SRV1-5 die Mitglied der Domäne DOM1 sind.

• Auf diesen 5 Servern existieren jeweils die lokale Gruppe "SrvLocalTest1", die das Recht "AllowLogonLocaly" benötigen.
• In der DOM1 existieret die Domain Lokale Gruppe "GLLogonLocaly".
• In den Security Settings der DOM1 GPO ist unter "...User Rights Assignement\Allow Log On Localy" ausschließlich nur "DOM1\GLLogonLocaly" aufgenommen.

Meine Frage ist folgende:

Wie kann ich am sinnvollsten den Server lokalen Gruppen "SrvLocalTest1" das Recht "AllowLogonLocaly" vergeben (ohne eine weitere GPO zu erstellen, die nur auf diese 5 Server verlinkt wird)?

Wäre eine Verschachtelung der Server lokalen Gruppe "SrvLocalTest1" in der Domain Lokale "DOM1\GLLogonLocaly" möglich?

Ein manueles hinzufügen der Gruppe in der lokalen Policy über "ntrights.exe +r SeInteractiveLogonRight -u "SrvLocalTest1"" würde nichts bringen, da nach dem nächsten ziehen der GPO die Einstellung wieder weg ist.

Hoffe ich habe mich einigermassen verständlich ausgedrückt.

Grüße

Takis

Hallo zusammen,

es scheint wohl nicht wirklich Sinn zu machen den built-in admin zu deaktivieren (ohne andere Baustellen aufzureißen).

Somit bleibe ich bei unserer implementierten Lösung, den built-in admin aktiv zu behalten, ein komplexes Passwort automatisiert zu vergeben und dieses durch unsere "Privileged Identity Management Suite" verwalten zu lassen (das funktioniert auch bei DMZ-Server ohne AD).

Vielen Dank für eure Zeit und die Beiträge.

Schönes Wochenende

Takis

Hallo an alle,

vielen Dank für Eure Antworten.

Die Verwendung von Domain-Accounts (stand-alone Server in einer DMZ?), die Vergabe von komplexen Passwörtern und deren Verwaltung (wir verwenden hierzu PowerBroker), das sind Lösungen die ich bereits berücksichtigt habe.

Die Frage ist ob die Deaktivierung des lokalen -500er Probleme bereiten kann oder nicht.

...

 

Konkret zu deiner Frage

Zwischen dem lokalen 500-er Account und einem neuen lokalen Account in der Administratorgruppe ist so gut wie kein Unterschied in Bezug auf Security. Beide können Alles auf der Maschine!

 

blub

Hi blub,

danke für die Infos.

Der Unterschied zw. den -500er und einen neu generierten Account der in die Admin-Gruppe aufgenommen wird ist, dass dessen SID nicht bekannt ist da sie zufällig generiert wird.

Viele Grüße

Takis

Hallo zusammen,

bin gerade dabei eine Server Sicherheitsrichtlinie für Server zusammen zu schreiben und hänge an dem Thama deaktivieren des Built-In Admins (SID500).

Gibt es einen triftigen Grund den Built-In Admin auf einen 2008-2012R2 Server nicht zu deaktivieren? Hintergrund ist einen Angriff auf SID-500 zu unterbinden.

Stattdessen sollte eine neuer lokaler Account erstellt und die Gruppe "administrators" aufgenommen werden?

Vielen Dank

Takis

Hallo an alle,

wäre super wenn ihr mich unterstützen könntet.

Habe eine Umgebung die aus einer W2k3 Domäne und Win7 Clients besteht.

Es existiert die Domain-Gruppe "DomGrp01" und auf allen Clients der Share "Share01". Nun möchte ich der DomGrp01 über GPO Leserechte vergeben.

Man kann zwar über GPO ein Share anlegen, aber keine Berechtigungen vergeben. Die Idee war in der GPO ein StartUp Script zu hinterlegen, das diese Gruppe entsprechend berechtigt.

Kann mir jemand schreiben, wie ein PS-Script ausehen kann?

Vielen Dank im voraus

Takis