Satmax 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Hallo, auf einem unserer TS (W2k3) ist die Ereignissanzeige voll mit Einträgen: ... Erfolgsüberwachung An-/Abmeldung administrator Ereignis 538 Computer: TS-DINO Erfolgsüberwachung An-/Abmeldung administrator Ereignis 576 Computer: TS-DINO Erfolgsüberwachung An-/Abmeldung administrator Ereignis 540 Computer: TS-DINO ... Teilweise sind da 3-5 Einträge pro Sekunde, mehr als 100 in der Minute. Was läuft hier falsch? Danke, Markus
nobex 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Kannst Du den kompletten Inhalt des/der Events hier reinkopieren? Von wo kommen die Anmeldungen des Admins an den TS?
Satmax 10 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 Hallo nobex, hier mit copy&paste eingefügt, nur "domaine" geändert. Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 15.09.2009 Zeit: 09:57:15 Benutzer: domaine\administrator Computer: DINO Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3060DC7) Anmeldetyp: 3 Anmeldevorgang: Kerberos Authentifizierungspaket: Kerberos Arbeitsstationsname: Anmelde-GUID: {6fd9ab50-c1f3-1bc5-3de4-67690efd23dc} Aufruferbenutzername: - Aufruferdomäne: - Aufruferanmeldekennung: - Aufruferprozesskennung: - Übertragene Dienste: - Quellnetzwerkadresse: - Quellport: - Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 15.09.2009 Zeit: 09:57:15 Benutzer: domaine\administrator Computer: DINO Beschreibung: Benutzerabmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3060DC7) Anmeldetyp: 3 Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 576 Datum: 15.09.2009 Zeit: 09:57:19 Benutzer: domaine\administrator Computer: DINO Beschreibung: Besondere Rechte bei neuer Anmeldung: Benutzername: Administrator Domäne: domaine Anmeldekennung: (0x0,0x3062E93) Berechtigungen: SeAssignPrimaryTokenPrivilege SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege
Satmax 10 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 Nachtrag: der Domänen Admin ist auf einem anderen Server angemeldet und unter dieser Anmeldung wird ein Programm ausgeführt das auf dem TS installiert ist, inklusive SQL Server.
phoenixcp 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Hm, kann es sein das da vielleicht ein Dienst mit dem Konto "domaine\administrator" zyklisch anläuft? /Edit auf den Nachtrag: Treffer, versenkt.
Satmax 10 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 Hm, kann es sein das da vielleicht ein Dienst mit dem Konto "domaine\administrator" zyklisch anläuft? /Edit auf den Nachtrag: Treffer, versenkt. Es läuft aber da IMHO kein Dients, nur ein normales Windows Programm. Du nimmts an die Einträge kommen von dort?
nobex 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Ein testweises Stoppen des Programms bringt Aufschluss.
phoenixcp 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Es läuft aber da IMHO kein Dients, nur ein normales Windows Programm. Du nimmts an die Einträge kommen von dort? Ja, ich nehme genau das an. Und wenn du schreibst "inkl. SQL Server", dann geh ich mal davon aus, das der sicher auch mit bestimmten Credentials läuft. Welche sind denn das? Laufen da zyklische Agentjobs? etc...
Satmax 10 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 Ein testweises Stoppen des Programms bringt Aufschluss. Da hätte ich natürlich von selbst drauf kommen müssen, danke. Und ja, es ist so. dieses Programm verursacht offensichtlich diese Einträge. Hast Du eventuell auch eine Erklärung warum das so ist? Das Programm greift via gemappte Freigabe auf diesen Server zu (laufend). Es sieht aus, als ob bei jedem Zugriff ein Eintrag erolgt.
phoenixcp 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Hast Du eventuell auch eine Erklärung warum das so ist? Das Programm greift via gemappte Freigabe auf diesen Server zu (laufend). Es sieht aus, als ob bei jedem Zugriff ein Eintrag erolgt. Und genau dort liegt das Missverständnis: Es gibt keinen laufenden Zugriff, auch wenn das für den Anwender so aussieht. Jeder Zugriff geschieht einzeln, inkl. An- und Abmeldung.
nobex 10 Geschrieben 15. September 2009 Melden Geschrieben 15. September 2009 Jeder Zugriff geschieht einzeln, inkl. An- und Abmeldung. Wenn das Mapping nicht neu verbunden wird, sollte doch keine erneute Anmeldung stattfinden ... :suspect:
Satmax 10 Geschrieben 15. September 2009 Autor Melden Geschrieben 15. September 2009 Danke für die Aufklärung!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden