FIT 0 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Grüßt euch. Vielen Dank schon einmal für die Hilfe. Meine Frage lautet: Wo findet man bei Windows Server 2012 R2 eine Übersicht, welche Admin-Accounts wann auf das AD zugegriffen haben, bzw. Änderungen durchgeführt usw? Danke schön Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Moin, so ohne Weiteres (leider) erst mal gar nicht. Die administrativen Zugriffe, die dich interessieren, kannst du in der Default Domain Controllers Policy im Computerzweig definieren. Die Protokolleinträge finden sich dann im Security-Eventlog des jeweiligen DC. Wohlgemerkt: Jedes einzelnen DC; um eine Gesamtansicht zu erhalten, musst du also alle DCs überprüfen. Zusätzlich stehst du dann noch vor dem Problem, dass das Security-Eventlog sehr unübersichtlich ist, weil zu einem einzelnen Zugriff oft zahlreiche Einträge gehören. Das musst du dann also auch noch auswerten bzw. filtern. Seit Windows Server 2008 kannst du dann noch das erweiterte Logging aktivieren und so die Detailtiefe erhöhen - du siehst dadurch z.B. bei Änderungen den "alten" und den "neuen" Wert. Auch das richtet man in der DDCP ein, allerdings an etwas anderer Stelle. Lösen musst du dann in jedem Fall das Log Management - also die Datenmenge und die Auswertung. Hierzu gibt es auch kommerzielle Werkzeuge. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.199 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Nils hat technishc recht - ich würde allerdings noch empfehlen, nicht die DDCP zu bearbeiten, sondern eine eigene "DC GPO" zu erstellen und darüber zu verlinken. Hätte den Vorteil, daß dcgpofix noch uneingeschränkt verwendbar ist und alle Anwendungsinstallationen, die mit der DDCP hantieren, keine Probleme verursachen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Die administrativen Zugriffe, die dich interessieren, kannst du in der Default Domain Controllers Policy im Computerzweig definieren. Die Protokolleinträge finden sich dann im Security-Eventlog des jeweiligen DC. Wohlgemerkt: Jedes einzelnen DC; um eine Gesamtansicht zu erhalten, musst du also alle DCs überprüfen. Gab es da nicht eine Konfiguratonsmöglichkeit, mit der Logon-Vorgänge auf allen DCs gelogged wurden, so dass man die nicht einzeln abgrasen muss? Ich habe das leider nur so in der Erinnerung und finde auf die Schnelle niht die Quelle. Was aber auf jeden Fall geht, ist das Weiterleiten der Ereignisse an einen zentralen Logging-Host: http://blogs.technet.com/b/mspfe/archive/2011/11/22/setting_2d00_up_2d00_security_2d00_event_2d00_log_2d00_subscriptions_2d00_with_2d00_windows_2d00_server_2d00_20032008.aspx Für den OP: Schau Dir mal die Schrittweise Anleitung für die erweiterte Sicherheitsüberwachungsrichtlinie und den folgenden Spickzettel an. Zitieren Link zu diesem Kommentar
daabm 1.199 Geschrieben 3. Juli 2014 Melden Teilen Geschrieben 3. Juli 2014 Daniel, meinst Du "lastLogon" und "lastLogonTimestamp"? Der eine ist "pro DC", der andere wird repliziert - aber nur alle paar Tage mal, taugt also nur begrenzt für exakte Analysen. Gibt auch nen Technet-Artikel und ich glaub auch nen Blogbeitrag bei AskDS dazu. Wenn Du was anderes meinst, müßtest Du das mal genauer formulieren :p Zitieren Link zu diesem Kommentar
extraherb 0 Geschrieben 4. Juli 2014 Melden Teilen Geschrieben 4. Juli 2014 Hi... Mit Powershell lassen sich die Eventlogs der einzelnen DC leicht zusammenfassen bzw. durchsuchen. Allerdings weiß man dann noch lange nicht WAS der jeweilige Admin geändert hat. Für Group Policies würd ich die AGPM empfehlen. http://technet.microsoft.com/en-us/library/dd420466.aspx Die Einrichtung ist einigermaßen einfach (bis auf detaillierte Berechtigungen evtl.) und man kann zumindest einen Überblick erhalten wer welche Policy verändert hat und dies auch wieder rückgängig machen. Cheers Herb Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 4. Juli 2014 Melden Teilen Geschrieben 4. Juli 2014 (bearbeitet) Moin, Nils hat technishc recht - ich würde allerdings noch empfehlen, nicht die DDCP zu bearbeiten, sondern eine eigene "DC GPO" zu erstellen und darüber zu verlinken. Hätte den Vorteil, daß dcgpofix noch uneingeschränkt verwendbar ist und alle Anwendungsinstallationen, die mit der DDCP hantieren, keine Probleme verursachen. du hast "im Prinzip" Recht. Allerdings sind in der DDCP bereits Überwachungseinstellungen definiert, sodass ein separates GPO dort u.U. nicht die Ergebnisse erzeugt, die man haben möchte. Daniel, meinst Du "lastLogon" und "lastLogonTimestamp"? Der eine ist "pro DC", der andere wird repliziert - aber nur alle paar Tage mal, taugt also nur begrenzt für exakte Analysen. Gibt auch nen Technet-Artikel und ich glaub auch nen Blogbeitrag bei AskDS dazu. Wenn Du was anderes meinst, müßtest Du das mal genauer formulieren :p Um den Artikel aufzurufen, suche ich immer nach "dandelions vcr" ;) [Dandelions, VCR Clocks, and Last Logon Times: These Are a Few of Our Least Favorite Things - Hey, Scripting Guy! Blog - Site Home - TechNet Blogs]https://blogs.technet.com/b/heyscriptingguy/archive/2010/01/27/dandelions-vcr-clocks-and-last-logon-times-these-are-a-few-of-our-least-favorite-things.aspx Gruß, Nils bearbeitet 4. Juli 2014 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.