blub

so mal ganz einfach mit dem logparser sieht das so aus erste Datei heisst z.B. Adminwatch.sql ------------ SELECT TimeGenerated, EventID, ComputerName, SID, Message, Data, SourceName, EventTypeName, EventCategory FrOM \\dc1\security, \\dc2\security, \\dc3\security To output.tsv where (SID='domain1\Administrator') ORDER by TimeGenerated DESC ------------- Der Scheduler könnte z.B. alle Stunde diese cmd-Datei aufrufen ---------- LogParser file:Adminwatch.sql -i:EVT -o:TSV -resolveSIDs:ON ---- Der logparser ist unheimlich mächtig. Man kann den Logparser sogar dazu bringen nur neue Events anzusehen, die seit dem letzten Lauf neu generiert wurden. Das habe ich aber noch nicht gemacht, wäre aber interessant. cu blub

Hi, Erstelle im Fehlerfall einen MemoryDump mittels CrashOnCtrlScroll Windows feature lets you generate a memory dump file by using the keyboard und versuche es mit Hilfe der DebugTools http://www.microsoft.com/downloads/details.aspx?FamilyID=7c6ec49c-a8f7-4323-b583-6a7a6aeb5e66&DisplayLang=en das DumpFile zu analysieren. Wenn du etwas Glück hast, kannst du den Fehler auch als Debug-Laie relativ einfach erkennen. Wenn du Pech hast, wirds beliebig kompliziert cu blub

mich stört, dass bei vielen Programmen die Hilfe nicht mehr funktioniert. MS hat offenbar bewusst das bewährte Hilfesystem eliminiert. Von daher, nicht produktiv geeignet cu blub

Hi, du kannst dir unter Windows Server How-To Guides: Home - ServerHowTo.de mal das wmic-howto ansehen: Windows Server How-To Guides: Teil 1: Wie wird WMIC gestartet? - ServerHowTo.de cu blub

netiq ist nicht ganz billig. Zum einfachen Auswerten der Securitylogs eignet sich auch sehr gut der kostenlose Logparser von MS Microsoft Download Center. Mit ein bischen vbs und blat kombiniert, kann man sich sicher auch schon schöne Lösungen bauen cu blub

zum Spielen ist sowas sicher ganz nett. Produktiv naja, es steht nicht mal dabei, wie das PW verschlüsselt wird...

Hi, In den Security Events wird bei jeder Anmeldung, Passwortwechsel etc. ein Event geschrieben - die Audit Policies müssen halt entsprechend gesetzt sein. Diese Events kann man nach bestimmten Kriterien z.b. Username überwachen. Wenn also auf irgendeinem DC ein Event auftaucht, dass dem Administratoraccount zuzuordnen ist, gibts es automatisch etsprechende Benachrichtigungen an einen SecurityVerteiler. Wir nutzen dafür den Security Manager von NetIQ Corporation. cu blub

Hi, îm scheduler service gibt es einen Haken "interact with desktop" cu blub

sfc.exe

doppelte Namen sind u.a. wegen der gegenseitigen Authentifizierung von Kerberos nicht möglich. Bei einer Kerberosverbindung können die Kerberosclients einander vertrauen, dass der Gegenüber auch wirklich der Rechner mit dem angegebenen Namen ist und keine Fälschung. Jeder Kerberosclient erhält daher ein Ticket, dass auf seinen Namen ausgestellt ist. Man kann es irgendwie schon schaffen, durch verschieben von computerkonten zwischen Domänen im Forest, zwei Konten mit dem gleichen Namen zu erhalten. Ergebnis ist dann, das ein Konto deaktiviert ist und du laufend Kerberosevents der DCs im Eventlog hast. Frag mich jetzt aber nicht welche cu blub

die Frage ist erstmal, Berechtigungen ... Wo? NTFS, SQLServer, im AD selbst, am XP-client.....

<- Beschäftigter in einem Kindergarten :D :D

@subby, was genau? Ich habe in der mmc das administratorkonto geöffnet, die erste Person reingerufen der 7Zeichen beim PW eingegen hat. Anschliessend hat derjenige das PW in einem versiegelten Briefumschlag zugeklebt. Anschliessend bei Person #2 dasselbe procedere. cu blub

wenn du gezielt vorgehen willst, dann mach den rsop und falls da nichts erkennbar ist, anschliessend http://www.mcseboard.de/windows-forum-lan-wan-32/domaenenanmeldung-xp-langsam-2000-a-109365.html?highlight=userenvdebuglevel#post673311 cu blub

hast du so eine highsecure-umgebung zu Hause, in der Virenscanner, Firewall am Router etc. nicht mehr ausreichen?

WMI Tasks: Operating Systems Das letzte Beispiel müsste helfen Details unter Win32_WindowsProductActivation cu blub

da musst du mit dem spezialfilter arbeiten. Da gibt es einen Haken "keine Duplikate" cu blub

was ist die Fehlermeldung? Access denied, Host not found, nimmt er eine falsche IP, etc. Funktioniert net use * \\<ipaddress>, net use * \\<servername>\c$

dann dürften Admin und Stellvertreter aber nie gemeinsam in ein Auto oder Flugzeug steigen :rolleyes: - Wir haben ein zweigeteiltes Password für die SID -500 in zwei Umschlägen, das von verschiedenen Personen unabhängig eingegeben und erstellt wurden. Niemand kennt also das PW des Administrators - die Umschläge liegen im Tresor - eine Liste von Personen, wer diese Umschläge öffnen darf - ein Auditing auf die Administrator -500 Kennung. Im Normalfall kann/ darf niemand damit arbeiten oder das PW ändern. cu blub

der erste Schritt auf dem Weg zur Scheidung ist die Heirat...

ProcessPrgrams Finished waiting for C:\WINNT\system32\rundll32.exe C:\WINNT\system32\shell32.dll, Control_RunDLL input.dll,,/u wielange braucht die Zeile denn, wenn du sie in der cmd ausführst? evtl. hat eine dll einen Hau: sfc.exe oder servicepack2 nochmal drüberbügeln. cu blub

probier mal admodify http://www.microsoft.com/downloads cu blub

Ein Kind bringt ca. 10€/ Monat netto mehr :rolleyes:

warum soll der Einsatz von Wireshark nicht legal sein?

Hi, du kannst das userenvdebuglevel aktivieren http://support.microsoft.com/kb/221833/de und mit dem policyreporter von syspro (googeln) das enstandene File analysieren cu blub