Jump to content

[2003 Server] Wie kann ich sehen, wer sich direkt am Server angemeldet hat?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

gerade ist mir aufgefallen, das unter "Dokumente und Einstellungen" an unserem Server ein Profil eines User liegt. Nun habe ich den Verdacht, dass sich dieser User heimlich am Server angemeldet hat. Warum auch immer?!

 

Wie kann ich denn nun sehen, wann sich dieser User dort angemeldet hat?

In der Ereignisanzeige kann ich diesbezüglich nichts finden. Gibt es da noch bessere Möglichkeiten, dies herauszufinden?

Link zu diesem Kommentar

Kann es sein dass einfach bei diesem Benutzer kein Proflpfad eingetragen wurde, und deswegen das Profil direkt auf dem Server gespeichert wurde? Dann müsste er auch nicht direkt daran gesessen sein.

 

VG

Basti

 

Edit: Ich denke selbst wenn er sich lokal anmeldet, nimmt er doch das Profil aus dem Pfad, also da wo auch alle anderen liegen. Oder irre ich mich :confused:

Link zu diesem Kommentar

Das habe ich schon überprüft. Der Pfad für das Servergespeicherte ist aber richtig eingetragen.

Ich habe auch schon in diesen Pfad reigeschaut. Das Datum "zuletzt geändert am:" ist auch von heute. Das Datum in "Dokumente..." auf dem Server ist vom 11.06.2006.

Bisher spricht also alles dafür, dass sich der besagte User wirklich dort eingeloggt hat. Was aber dagegenspricht, ist die mangelnde Erfahrung des Users.

 

 

Edit: Da hast recht, dennoch wird das Profil unter Dokumente und Einstellung gespeichert.

Link zu diesem Kommentar

@ Monarch

 

Richtig. Ich würde meinen Namen auch nicht verwenden, wenn ich hier mist bauen will.

Diese Möglichkeit besteht also.

 

@ traced82

 

Das habe ich gerade auch gemacht. Jeder User darf sich nur noch an seinem PC anmelden. Außer halt die Springer, diese dürfen dann an jedem PC der Betreffenden Abteilung arbeiten.

Das Admin-PW habe ich auch neu eingerichtet.

 

Bleibt nur die Frage, wer da was am Server wollte. Mir geistert schon das Wort Industriespionage durch den Kopf.

 

 

@ All

 

Gibt es denn ein Überwachungsprogramm, damit ich nachvollziehen kann, wer sich wann ein- und ausloggt?

Link zu diesem Kommentar

@ weg5st0

 

Dieses Protokoll habe ich schon durchgesehen. Ereignis 680 müsste das ja dann sein. Dort ist aber für den 11.01.2006 nichts mit diesem User zu finden.

 

@ all

 

Ich habe gerade bemerkt, dass das Profil nicht mehr komplett ist. Einige Ordner fehlen. Evtl. hat hier schon jemand versucht etwas zu löschen. Falls das Admin-PW bekannt war, könnte so eine Ereignisanzeige doch auch manipuliert worden sein. Ist das richtig?

 

edit:

 

@ grizzly999

 

Windows 2003 Server Standard Edition

Clients: Mix aus 2k und xp

Servergespeicherte Profile = Ja

Domäne = Ja

Link zu diesem Kommentar

Und der Benutzer hat auch ein servergeseichertes Profil, seltsam? ich hätte nämlich sofort gemutmaßt, das der Benutzer keines hat, oder auf dem Client, auf dem er angemeldet ist keines hat, und auf DIESEM Server übers Netzwerk Dateien mit EFS verschlüsselt hat.

Dann würde der Server hergehen und ein abgespecktes Profil für den User auf dem Server selber anlegen anstatt es (das EFS-zertifikat des Benutzers) aus dem Roaming Profile holen.

Halt ....., wenn dem Server nicht für Delegierungszwecke vertraut wird, macht er das auch, das könnte die Lösung sein. Schau mal in den Profil-Order auf diesem Server rein, gibt es da eine etwas kryptische Datei á la 5fda4055c2c6c9749cfb127d823a6916_413421e4-d331-48dd-9413-d5d247f01fc6 im Ordner

C:\Dokumente und Einstellungen\<Username>\Anwendungsdaten\Microsoft\Crypto\RSA\<User-SID> ?

 

Dann wäre meine Vermutung naheliegend, ein Hochnotpeinliches Verhör des Benutzers könnte das bestätigen :D

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...