Knorkator 12 Geschrieben 6. Juni 2010 Melden Teilen Geschrieben 6. Juni 2010 Hallo, irgendwo hänge ich mit dem tool Eventtriggers und dem beschriebenen Beispiel von faq-o-matic.net Auf Windows-Ereignisse reagieren fest. Die ID 529 wird bei mir nur auf der Arbeitsstation und nicht auf dem DC Protokolliert. Somit müsste ich Eventtriggers auf jeder Workstation ausführen lassen. Versteh ich in dem Beispiel was falsch? Wenn jemand versucht, sich an der Domäne anzumelden und scheitert, sollte das doch auf jeden Fall am DC Protokolliert werden, oder? Verwendete OS: Server 2003R2 und XP Pro SP3. Thx für Tipps. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 7. Juni 2010 Autor Melden Teilen Geschrieben 7. Juni 2010 Also ich hab mir die Gruppenrichtlinien mal angesehen und festgestellt, dass die Default Domain Controller Policy die Default Domain Policy überschreibt. Per Default werden dort nur Erfolgreiche Anmeldeversuche geloggt. Nun bin ich immerhin soweit, das mir ID 675 angezeigt wird. Dort wird dann immerhin der Username und die IP-Adresse angezeigt. Hat keiner nen Tipp? Finde die Funktion in Kombination mit Blat.exe eigentlich sehr interessant. Dies kann man bequem in eine Batch Datei packen und somit zumindest eine Grundüberwachung erstellen. Oder wie macht Ihr sowas? Thx Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 7. Juni 2010 Melden Teilen Geschrieben 7. Juni 2010 Moin, vielleicht verrätst du uns erst mal, was du denn erreichen willst. Gruß, Nils Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 8. Juni 2010 Autor Melden Teilen Geschrieben 8. Juni 2010 Hallo Nils, na vermütlich möchte ich eine Information geschickt bekommen, wenn jemand versucht, sich als Admin oder sonstiges an der Domäne anzumelden. So wie in dem Beispiel beschrieben, halt nur per blat und nicht per Nachrichtendienst. Nicht das ein konkreter Verdacht besteht, aber dies zu implementieren scheint mir recht einfach zu sein (daher versteh ich auch nicht, wo ich hänge). Oder liege ich völlig falsch und das Beispiel mit ID529 bezieht sich auf eine XP Workstation? Gruß Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 16. Juni 2010 Autor Melden Teilen Geschrieben 16. Juni 2010 Hallo nochmal, habe mir das hier noch einmal angesehen. Um die Frage noch einmal ausführlicher zu beantworten: Ich habe in der Default GPO die Protokollierung für Anmeldeereignisse und Anmeldeversuche aktiviert. Wenn ich nun auf einem Domänennotebook absichtlich ein falsches Kennwort eingebe, erscheint im Sicherheitsprotokoll des Notebooks ein Eintrag mit der ID529. Im Ereignisprotokoll des DC erscheint diese ID nicht! Ich habe den Beitrag so verstanden, dass die ID im Protokoll des DC erscheint. Im DC habe ich dafür ID 675, welche mir anzeigt, dass auf Ip 192... mit dem Benutzernamen xyz eine Fehlerhafte Anmeldung stattgefunden hat. thx im voraus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.