Elendil 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hallo! ich habe bei einigen PCs in meiner Domäne das Problem, dass das Sicherheitsprotokoll innerhalb von 3 Tagen voll läuft. Es stehen etliche Einträge dieser Art drin: (nur weiß ich nicht warum) :-( Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 540 Datum: 28.05.2008 Zeit: 18:27:59 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: "PC-Name" Beschreibung: Erfolgreiche Netzwerkanmeldung: Benutzername: Domäne: Anmeldekennung: (0x0,0x33D9AD) Anmeldetyp: 3 Anmeldevorgang: NtLmSsp Authentifizierungspaket: NTLM Arbeitsstationsname: "Domänencontrollername" Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. ------------------ Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: An-/Abmeldung Ereigniskennung: 538 Datum: 28.05.2008 Zeit: 18:27:59 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: PC-Name Beschreibung: Benutzerabmeldung: Benutzername: ANONYMOUS-ANMELDUNG Domäne: NT-AUTORITÄT Anmeldekennung: (0x0,0x33D994) Anmeldetyp: 3 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search. Kann mir vlt jemand was dazu sagen? Danke Elendil Zitieren Link zu diesem Kommentar
MCSE_SF 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hallo, an einem PC (Client) werden diese Ereignisse standardmäßig nicht überwacht bzw. im Sicherheitsprotokoll dargestellt. Wenn Du als Admin lokal, die MMC "Lokale Sicherheitsrichtlinien" einsiehst prüfe dort ob unter Computername\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinien festgelegt sind. Wenn dort Richtlinien aktiviert worden sind wird das Sicherheitsprotokoll vollgespült mit solchen Meldungen, was in der Regel aber bewusst aktiviert worden sein muss. Eigentlich dann ein normales Verhalten und nicht bedenklich. Da Du Dich in einer Domäne befindest kann dieses Verhalten auch durch eine GPO verursacht worden sein, prüfe dann genauso auf dem DC ob dieser seinen Clients dieses Verhalten aufzwingt. Du kannst dort sowohl erfolgreiche als auch fehlgeschlagene Versuche überwachen bzw. überprüfen, so dass die Zurückverfolgung der Überwachungseinträge genauen Aufschluss darüber gibt, wer bestimmte Aktionen im Netzwerk durchgeführt hat und wer versucht hat, Aktionen durchzuführen, die nicht zulässig sind. Ich denke dass Du dort mal ansetzen solltest. Gruß MCSE_SF Zitieren Link zu diesem Kommentar
Elendil 10 Geschrieben 2. Juni 2008 Autor Melden Teilen Geschrieben 2. Juni 2008 Moin Moin! Vielen Dank für die Antwort. Werde mal danach schauen. Gruß Elendil Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.