Elendil 10 Geschrieben 30. Mai 2008 Melden Geschrieben 30. Mai 2008 Hallo! ich habe bei einigen PCs in meiner Domäne das Problem, dass das Sicherheitsprotokoll innerhalb von 3 Tagen voll läuft. Es stehen etliche Einträge dieser Art drin: (nur weiß ich nicht warum) :-( Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 28.05.2008 Zeit: 18:27:59 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: "PC-Name" Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x33D9AD) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: "Domänencontrollername" Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. ------------------ Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 28.05.2008 Zeit: 18:27:59 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: PC-Name Beschreibung: Benutzerabmeldung: Benutzername: ANONYMOUS-ANMELDUNG Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x33D994) Anmeldetyp: 3 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Kann mir vlt jemand was dazu sagen? Danke Elendil
MCSE_SF 10 Geschrieben 30. Mai 2008 Melden Geschrieben 30. Mai 2008 Hallo, an einem PC (Client) werden diese Ereignisse standardmäßig nicht überwacht bzw. im Sicherheitsprotokoll dargestellt. Wenn Du als Admin lokal, die MMC "Lokale Sicherheitsrichtlinien" einsiehst prüfe dort ob unter Computername\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien festgelegt sind. Wenn dort Richtlinien aktiviert worden sind wird das Sicherheitsprotokoll vollgespült mit solchen Meldungen, was in der Regel aber bewusst aktiviert worden sein muss. Eigentlich dann ein normales Verhalten und nicht bedenklich. Da Du Dich in einer Domäne befindest kann dieses Verhalten auch durch eine GPO verursacht worden sein, prüfe dann genauso auf dem DC ob dieser seinen Clients dieses Verhalten aufzwingt. Du kannst dort sowohl erfolgreiche als auch fehlgeschlagene Versuche überwachen bzw. überprüfen, so dass die Zurückverfolgung der Überwachungseinträge genauen Aufschluss darüber gibt, wer bestimmte Aktionen im Netzwerk durchgeführt hat und wer versucht hat, Aktionen durchzuführen, die nicht zulässig sind. Ich denke dass Du dort mal ansetzen solltest. Gruß MCSE_SF
Elendil 10 Geschrieben 2. Juni 2008 Autor Melden Geschrieben 2. Juni 2008 Moin Moin! Vielen Dank für die Antwort. Werde mal danach schauen. Gruß Elendil
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden