Anmeldeereignisse überwachen - Ereigniskennung 565

[MB-Power 10]

Wir haben einen Windows 2003 Domänencontroller bei dem ich die folgenden Gruppenrichtlinien aktiviert habe.

 

Gruppenrichtlinie > Computerkonfiguration > Softwareeinstellungen > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinien

 

1. Anmeldeereignisse überwachen (Fehlgeschlagen aktiviert)

2. Anmeldeversuche überwachen (Fehlgeschlagen aktiviert)

 

Mehr ist unter Überwachungsrichtlinien nicht aktiviert.

 

Von einem Notebook bekomme ich jetzt jede Sekunde ca. 5 Einträge ins Eventlog Sicherheit.

 

Fehlermeldungen oder Probleme bei der Anmeldung auf dem Notebook gibt es nicht. Wir haben mehr als 10 weitere Notebooks im Einsatz und dort habe ich das Problem nicht. Hat vielleicht jemand einen Tip für mich.

 

Die Einträge sehen alle so aus.

Geöffnetes Objekt:

Objektserver: Security Account Manager

Objekttyp: SAM_USER

Objektname: S-1-5-21-1059391755-1344703917-226356251-1478

Handlekennung: 146964856

Vorgangskennung: {2,2180820125}

Prozesskennung: 632

Prozessname: C:\WINDOWS\system32\lsass.exe

Primärer Benutzername: SRV1FRIMA$

Primäre Domäne: FRIMAAG

Primäre Anmeldekennung: (0x0,0x3E7)

Clientbenutzername: FRIMA114$

Clientdomäne: FRIMAAG

Clientanmeldekennung: (0x2,0x81FB30E7)

Zugriffe READ_CONTROL

Einstellungen schreiben

Konto lesen

Kennwort setzen (mit Kenntnis des alten Kennworts)

 

Berechtigungen -

 

Eigenschaften:

---

user

READ_CONTROL

Einstellungen schreiben

Konto lesen

Kennwort setzen (mit Kenntnis des alten Kennworts)

General Information

codePage

countryCode

objectSid

primaryGroupID

sAMAccountName

comment

displayName

Account Restrictions

accountExpires

pwdLastSet

userAccountControl

userParameters

Logon Information

badPwdCount

homeDirectory

homeDrive

lastLogoff

lastLogon

logonCount

logonHours

logonWorkstation

profilePath

scriptPath

Public Information

description

Group Membership

memberOf

Reset Password

%{7ed84960-ad10-11d0-8a92-00aa006e0529}

READ_CONTROL

Einstellungen schreiben

Konto lesen

Kennwort setzen (mit Kenntnis des alten Kennworts)

Gruppen auflisten

Change Password

 

Zugriffsmaske: 0

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

[MB-Power 10]

Hat keiner einen Tipp für mich?

[MB-Power 10]

Habe heute die beiden folgenden Gruppenrichtlinien wieder deaktiviert, aber die Meldung kommt leider immer noch ständig.

 

Gruppenrichtlinie > Computerkonfiguration > Softwareeinstellungen > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinien

 

1. Anmeldeereignisse überwachen deaktiviert

2. Anmeldeversuche überwachen deaktiviert

bearbeitet 14. April 2010 von MB-Power

[olc 18]

Hi,

 

die Ereignisse sehen mir eher nach "Objektüberwachung" von AD Objekten aus, nicht nach Anmeldeereignissen. Was ist beim "Objektzugriff" derselben Policy Ebene definiert?

 

Viele Grüße

olc

[MB-Power 10]

Dort ist leider nichts definiert, aber auch bei keiner anderen Policy.

Unter Überwachungsrichtlinien ist nichts mehr aktiviert.

 

Heute habe ich festgestellt, dass auch ein zweites Notebook dieses Problem hat. Das sind beides die gleichen HP Notebooks. Vor lauter einträgen XX pro Minute ist mir das zweite nicht mal aufgefallen.

 

Habe auch schon versucht ein Notebook mal aus der Domäne zu nehmen und wieder einfügen, aber hat leider nichts gebracht. Auf beiden Notebooks ist XP SP3 installiert.

 

Die ständigen Meldungen der beiden Notebooks sind aus der Kategorie Verzeichnisdienstzugriff, der aber auch nicht aktiviert ist.

 

Nur komisch, dass es nur von den beiden Notebooks kommt und beides die gleichen Typen sind Compaq 6730b.

[olc 18]

Hi,

 

vielleicht ist es in den lokalen Richtlinien der Notebooks definiert? Check mal das lokale "gpedit.msc".

 

Viele Grüße

olc