Jump to content
Sign in to follow this  
Dr. Neslihan

[2003 Server] Wie kann ich sehen, wer sich direkt am Server angemeldet hat?

Recommended Posts

Hallo,

 

gerade ist mir aufgefallen, das unter "Dokumente und Einstellungen" an unserem Server ein Profil eines User liegt. Nun habe ich den Verdacht, dass sich dieser User heimlich am Server angemeldet hat. Warum auch immer?!

 

Wie kann ich denn nun sehen, wann sich dieser User dort angemeldet hat?

In der Ereignisanzeige kann ich diesbezüglich nichts finden. Gibt es da noch bessere Möglichkeiten, dies herauszufinden?

Share this post


Link to post
Share on other sites

Papier neben dem Server ?

 

*grusel*

 

Erkläre Deinem Chef, dass er persönlich haftet, wenn die Kiste abbrennt und die Daten futsch sind.

 

-Zahni

Share this post


Link to post
Share on other sites

Kann es sein dass einfach bei diesem Benutzer kein Proflpfad eingetragen wurde, und deswegen das Profil direkt auf dem Server gespeichert wurde? Dann müsste er auch nicht direkt daran gesessen sein.

 

VG

Basti

 

Edit: Ich denke selbst wenn er sich lokal anmeldet, nimmt er doch das Profil aus dem Pfad, also da wo auch alle anderen liegen. Oder irre ich mich :confused:

Share this post


Link to post
Share on other sites

Das habe ich schon überprüft. Der Pfad für das Servergespeicherte ist aber richtig eingetragen.

Ich habe auch schon in diesen Pfad reigeschaut. Das Datum "zuletzt geändert am:" ist auch von heute. Das Datum in "Dokumente..." auf dem Server ist vom 11.06.2006.

Bisher spricht also alles dafür, dass sich der besagte User wirklich dort eingeloggt hat. Was aber dagegenspricht, ist die mangelnde Erfahrung des Users.

 

 

Edit: Da hast recht, dennoch wird das Profil unter Dokumente und Einstellung gespeichert.

Share this post


Link to post
Share on other sites
Was aber dagegenspricht, ist die mangelnde Erfahrung des Users.

 

Ist ja nicht gesagt, dass er es wirklich war. Vielleicht kennt ein anderer sein Passwort?

Share this post


Link to post
Share on other sites

Ja, aber nur zwischengespeichert, das sollte doch dann wieder gelöscht werden.

Vielleicht hat die Abmeldung nicht geklappt?

 

Aber verbiete halt einfach jedem ausser der Gruppe Admins und DomänenAdmins das lokale anmelden, dann brauchst Dir in Zukunft keinen Kopf mehr machen!

 

VG

Share this post


Link to post
Share on other sites

@ Monarch

 

Richtig. Ich würde meinen Namen auch nicht verwenden, wenn ich hier mist bauen will.

Diese Möglichkeit besteht also.

 

@ traced82

 

Das habe ich gerade auch gemacht. Jeder User darf sich nur noch an seinem PC anmelden. Außer halt die Springer, diese dürfen dann an jedem PC der Betreffenden Abteilung arbeiten.

Das Admin-PW habe ich auch neu eingerichtet.

 

Bleibt nur die Frage, wer da was am Server wollte. Mir geistert schon das Wort Industriespionage durch den Kopf.

 

 

@ All

 

Gibt es denn ein Überwachungsprogramm, damit ich nachvollziehen kann, wer sich wann ein- und ausloggt?

Share this post


Link to post
Share on other sites

Wenn das ein server ist, wird dieses Eevent im Sicherheitsprotokoll festgehalten!

 

Einfach das Protokoll mal so konfigurieren, daß da nicht so schnell gelöscht wird (Eigenschaften).

Share this post


Link to post
Share on other sites

Strenger Verweis ! :D :D

 

Wo bitte bleiben solche Angaben wie Betriebssystem des Server, der Clients, WG oder Domäne, hat der betreffende User ein Servergespeichertes Benutzerprofil? :cry:

 

 

grizzly999

Share this post


Link to post
Share on other sites

@ weg5st0

 

Dieses Protokoll habe ich schon durchgesehen. Ereignis 680 müsste das ja dann sein. Dort ist aber für den 11.01.2006 nichts mit diesem User zu finden.

 

@ all

 

Ich habe gerade bemerkt, dass das Profil nicht mehr komplett ist. Einige Ordner fehlen. Evtl. hat hier schon jemand versucht etwas zu löschen. Falls das Admin-PW bekannt war, könnte so eine Ereignisanzeige doch auch manipuliert worden sein. Ist das richtig?

 

edit:

 

@ grizzly999

 

Windows 2003 Server Standard Edition

Clients: Mix aus 2k und xp

Servergespeicherte Profile = Ja

Domäne = Ja

Share this post


Link to post
Share on other sites

Und der Benutzer hat auch ein servergeseichertes Profil, seltsam? ich hätte nämlich sofort gemutmaßt, das der Benutzer keines hat, oder auf dem Client, auf dem er angemeldet ist keines hat, und auf DIESEM Server übers Netzwerk Dateien mit EFS verschlüsselt hat.

Dann würde der Server hergehen und ein abgespecktes Profil für den User auf dem Server selber anlegen anstatt es (das EFS-zertifikat des Benutzers) aus dem Roaming Profile holen.

Halt ....., wenn dem Server nicht für Delegierungszwecke vertraut wird, macht er das auch, das könnte die Lösung sein. Schau mal in den Profil-Order auf diesem Server rein, gibt es da eine etwas kryptische Datei á la 5fda4055c2c6c9749cfb127d823a6916_413421e4-d331-48dd-9413-d5d247f01fc6 im Ordner

C:\Dokumente und Einstellungen\<Username>\Anwendungsdaten\Microsoft\Crypto\RSA\<User-SID> ?

 

Dann wäre meine Vermutung naheliegend, ein Hochnotpeinliches Verhör des Benutzers könnte das bestätigen :D

 

 

grizzly999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...