Jump to content
Sign in to follow this  
Knorkator

Eventtriggers und ID 529

Recommended Posts

Hallo,

 

irgendwo hänge ich mit dem tool Eventtriggers und dem beschriebenen Beispiel von faq-o-matic.net Auf Windows-Ereignisse reagieren fest.

 

Die ID 529 wird bei mir nur auf der Arbeitsstation und nicht auf dem DC Protokolliert.

Somit müsste ich Eventtriggers auf jeder Workstation ausführen lassen.

 

Versteh ich in dem Beispiel was falsch?

Wenn jemand versucht, sich an der Domäne anzumelden und scheitert, sollte das doch auf jeden Fall am DC Protokolliert werden, oder?

 

Verwendete OS: Server 2003R2 und XP Pro SP3.

 

Thx für Tipps.

Share this post


Link to post

Also ich hab mir die Gruppenrichtlinien mal angesehen und festgestellt, dass die Default Domain Controller Policy die Default Domain Policy überschreibt.

Per Default werden dort nur Erfolgreiche Anmeldeversuche geloggt.

 

Nun bin ich immerhin soweit, das mir ID 675 angezeigt wird.

Dort wird dann immerhin der Username und die IP-Adresse angezeigt.

 

Hat keiner nen Tipp?

Finde die Funktion in Kombination mit Blat.exe eigentlich sehr interessant.

Dies kann man bequem in eine Batch Datei packen und somit zumindest eine Grundüberwachung erstellen.

 

Oder wie macht Ihr sowas?

 

Thx

Share this post


Link to post

Moin,

 

vielleicht verrätst du uns erst mal, was du denn erreichen willst.

 

Gruß, Nils

Share this post


Link to post

Hallo Nils,

 

na vermütlich möchte ich eine Information geschickt bekommen, wenn jemand versucht, sich als Admin oder sonstiges an der Domäne anzumelden.

So wie in dem Beispiel beschrieben, halt nur per blat und nicht per Nachrichtendienst.

 

Nicht das ein konkreter Verdacht besteht, aber dies zu implementieren scheint mir recht einfach zu sein (daher versteh ich auch nicht, wo ich hänge).

 

Oder liege ich völlig falsch und das Beispiel mit ID529 bezieht sich auf eine XP Workstation?

 

Gruß

Share this post


Link to post

Hallo nochmal,

 

habe mir das hier noch einmal angesehen.

 

Um die Frage noch einmal ausführlicher zu beantworten:

 

Ich habe in der Default GPO die Protokollierung für Anmeldeereignisse und Anmeldeversuche aktiviert.

Wenn ich nun auf einem Domänennotebook absichtlich ein falsches Kennwort eingebe, erscheint im Sicherheitsprotokoll des Notebooks ein Eintrag mit der ID529.

Im Ereignisprotokoll des DC erscheint diese ID nicht!

Ich habe den Beitrag so verstanden, dass die ID im Protokoll des DC erscheint.

 

Im DC habe ich dafür ID 675, welche mir anzeigt, dass auf Ip 192... mit dem Benutzernamen xyz eine Fehlerhafte Anmeldung stattgefunden hat.

 

thx im voraus

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...