Jump to content

Anmeldeversuche vs. Anmeldeereignisse


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • 4 Wochen später...

Ich habe gerade ein ähnliches Problem, allerdings mit dem Völk für die 70-292:

 

AD mit zwei OUs, OU_M und OU_P, diese enthalten jeweils drei untergeordnete OUs.

Es wird vermutet, daß jemand probiert sich mit erratenen Kennwörtern an der Domäne anzumelden. Wie kann ich feststellen, auf welchem Rechner die Anmeldeversuche ausgeführt werden?

 

Zur Auswahl stehen vier Antworten, zwei davon sind Mumpitz, die anderen beiden sind:

 

1. Standarddomänenrichtlinie bearbeiten damit fehlgeschlagene Kontoanmeldungen überwacht werden.

 

2. OU_M und OU_P bearbeiten damit fehlgeschlagene Anmeldungen überwacht werden.

 

Richtig ist laut Völk Antwort 2, es wird aber leider nicht wirklich erklärt, warum das so ist.

Bei den Möglichkeiten hätte ich mich für 1 entschieden, warum sollte ich das ganze zwei mal konfigurieren, wenn es mit einem mal getan ist?

Laut MS Buch Seite 265 "Wenn Sie Anmeldeereignisse für AD Authentifizierungen überwachen wollen, müssen Sie Einstellungen in Richtlinien konfigurieren, die auf die OU Domain Controllers angewendet werden" wären allerdings beide Antworten falsch.

 

Kann mich da mal jemand aufklären?

 

Danke!

Link zu diesem Kommentar

Hi,

 

der Schlüssel zum Erfolg liegt in diesem kleinen Wörtchen Standarddomänenrichtlinie.

 

Die Standarddomänenrichtlinie wird auf alle Server in der Domäne angewendet, daher sollte man diese tunlichst nicht editieren. Microsoft empfiehlt folgende Vorgehensweise:

"Die Standarddomänenrichtlinie sollte nicht bearbeitet werden. Wenn Sie Gruppenrichtlinieneinstellungen auf die gesamte Domäne anwenden möchten, erstellen Sie ein neues Gruppenrichtlinienobjekt, verknüpfen Sie es mit der Domäne, und legen Sie die Einstellungen in diesem Gruppenrichtlinienobjekt fest."

 

Kannst Du hier aber nochmal genau nachlesen: Technet Microsoft Corporation

 

Gruß

Link zu diesem Kommentar

Ah, OK, das habe ich so aus der Völk Antwort nicht erkennen können, danke! :)

 

Ich habe das ganze jetzt noch mal etwas aufbereitet um mir den Unterschied zwischen Anmeldeereignis und Anmeldeversuch klar zu machen. Hier läuft ein 2003 Server und ein Windows 2000 Client, beide als virtuelle Maschine mit Virtual PC 2004.

Es gibt entweder die Möglichkeit, die Einstellungen über die Default Domain Controllers Policy (DDCP) oder über die Default Domain Policy ((DDP) was man an einem produktiv genutzten System nicht tun sollte, siehe Beitrag von mcselede!) vorzunehmen.

Die Aktivierung von "Anmeldeversuche überwachen" in der DDP führt zu keinem Eintrag im Sicherheitsprotokoll wenn sich der Client am AD anmeldet, weder am Client noch am DC. Die Einstellung "Anmeldeereignisse überwachen" führt zu einem Eintrag (event ID: 528) am Client.

Wenn "Anmeldeversuche überwachen" in der DDCP aktiviert wird, bekomme ich Einträge im Sicherheitsprotokoll des Servers, allerdings sind dies nur 67x IDs, welche von diversen "Ticketanforderungen" berichten. Wenn ich "Anmeldeereignisse überwachen" in der DDCP aktiviere bekomme ich Einträge im Sicherheitsprotokoll des DC, die wohl am meisten Sinn machen, mit der event ID 540. Was mich etwas irritiert ist, daß als letzte Einträge immer welche mit der event ID 538 auftauchen ("Der Abmeldevorgang wurde für einen Benutzer durchgeführt"). Was soll das? Abgemeldet habe ich den Benutzer nicht und der Eintrag folgt direkt, ohne Pause, auf die Anmeldung.

Mir ist auch nicht so ganz klar, wozu die Überwachung der "Anmeldeversuche" gut ist, die Einträge die ich durch die Überwachung der "Anmeldeereignisse" bekomme sind irgendwie aussagekräftiger. :confused:

 

Danke und Gruß,

 

Simon

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...