Jump to content

Eventtriggers und ID 529


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

irgendwo hänge ich mit dem tool Eventtriggers und dem beschriebenen Beispiel von faq-o-matic.net Auf Windows-Ereignisse reagieren fest.

 

Die ID 529 wird bei mir nur auf der Arbeitsstation und nicht auf dem DC Protokolliert.

Somit müsste ich Eventtriggers auf jeder Workstation ausführen lassen.

 

Versteh ich in dem Beispiel was falsch?

Wenn jemand versucht, sich an der Domäne anzumelden und scheitert, sollte das doch auf jeden Fall am DC Protokolliert werden, oder?

 

Verwendete OS: Server 2003R2 und XP Pro SP3.

 

Thx für Tipps.

Link zu diesem Kommentar

Also ich hab mir die Gruppenrichtlinien mal angesehen und festgestellt, dass die Default Domain Controller Policy die Default Domain Policy überschreibt.

Per Default werden dort nur Erfolgreiche Anmeldeversuche geloggt.

 

Nun bin ich immerhin soweit, das mir ID 675 angezeigt wird.

Dort wird dann immerhin der Username und die IP-Adresse angezeigt.

 

Hat keiner nen Tipp?

Finde die Funktion in Kombination mit Blat.exe eigentlich sehr interessant.

Dies kann man bequem in eine Batch Datei packen und somit zumindest eine Grundüberwachung erstellen.

 

Oder wie macht Ihr sowas?

 

Thx

Link zu diesem Kommentar

Hallo Nils,

 

na vermütlich möchte ich eine Information geschickt bekommen, wenn jemand versucht, sich als Admin oder sonstiges an der Domäne anzumelden.

So wie in dem Beispiel beschrieben, halt nur per blat und nicht per Nachrichtendienst.

 

Nicht das ein konkreter Verdacht besteht, aber dies zu implementieren scheint mir recht einfach zu sein (daher versteh ich auch nicht, wo ich hänge).

 

Oder liege ich völlig falsch und das Beispiel mit ID529 bezieht sich auf eine XP Workstation?

 

Gruß

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo nochmal,

 

habe mir das hier noch einmal angesehen.

 

Um die Frage noch einmal ausführlicher zu beantworten:

 

Ich habe in der Default GPO die Protokollierung für Anmeldeereignisse und Anmeldeversuche aktiviert.

Wenn ich nun auf einem Domänennotebook absichtlich ein falsches Kennwort eingebe, erscheint im Sicherheitsprotokoll des Notebooks ein Eintrag mit der ID529.

Im Ereignisprotokoll des DC erscheint diese ID nicht!

Ich habe den Beitrag so verstanden, dass die ID im Protokoll des DC erscheint.

 

Im DC habe ich dafür ID 675, welche mir anzeigt, dass auf Ip 192... mit dem Benutzernamen xyz eine Fehlerhafte Anmeldung stattgefunden hat.

 

thx im voraus

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...