DerS2k 0 Geschrieben 26. März 2013 Melden Geschrieben 26. März 2013 Hallo Gemeinsam, lese hier schon öfters mit und nun war es an der Zeit mich auch mal anzumelden. Ich benötige mal Expertenhilfe, ich muss gestehen das ich mich zu meiner Schande zu wenig mit Win Server 2008 R2 beschäftigt habe ( um ehrlich zu sein auf Serverbasis bis Win2k3 Server nicht mehr so viel.) also folgendes Szenario ich habe einen Kundengeerbt der immer von einem "Geschäftspartner" betreut wurde. Die Firma ist ein kleiner laden (Ein Server Augenscheinlich Win Server 2008 mit einer Domäne und 3-4 Clients ) Der Kunde besitzt einen Internetanschluss mit fester IP, der Kunde hat keinerlei Zugangsdaten zu seinem Server (Keine Administratorkennwörter, keine User mit Administrator Rechten). Jetzt über die Ostertage würde ich gerne ein bisschen Struktur / Grundrein bringen einige Sachen am ERP anpassen und und.... Zugang zu einem Administrator Account werde ich herstellen können, im Dialog mit dem Kunden äußerte der Kunde den Verdacht, das der ehemalige Administrator vermutlich Nachts öfters mal Schabernack betrieben hätte..... (Daten hin & her verschoben ... Lagerbestände im ERP verändert) (Ja der GF des Ladens ist nicht gerade EDV-Affin). Das was ich bisher gesehen habe sind mehr als Schlampige Basis Installationen... Daher die Frage seht Ihr hier eine Möglichkeit herauszubekommen sag ich mal wann innerhalb der letzten 24 Monate wann sich der "Administrator" auf den Server eingeloggt hat. Habe im Selbsttest heute mal auf meinem Virtuellen einige Prüfungen durchgeführt und in den Ereignisprotokollen zu stöbern und und.. Aber irgendwie weiß ich gar nicht wonach ich schauen soll die Meisten An / Abmelde sind Augenscheinlich für mich unaussage Kräftig? hat einer von euch vielleicht eine schnelle Fixe Idee und / oder ein Query was mir helfen könnte.... vielen Dank im voraus und ich muss gestehen Super Community! ich les seit jahren mit und konnte schon den ein oder anderen Tipp / Lösungsansatz in den unendlichen weiten dieses Forums finden. Zitieren
Doso 77 Geschrieben 29. März 2013 Melden Geschrieben 29. März 2013 Ja, kann man. Dafür gibt es umfangreiche Einstellungen in den Gruppenrichtlinien was alles geloggt wird. Beispiel: http://www.techrepublic.com/blog/datacenter/auditing-user-accounts-in-windows-server-2008-r2/1262 Das entsprechend Event ist 4624: An account was successfully logged on Ich weis gerade nicht mehr ob das im Standard an oder ausgeschaltet ist auf DCs. Musst du mal im Technet kramen. Desto mehr solche Ereignisse geloggt werden, desto kürzer ist üblicherweise der Zeitraum den man zurückgehen kann, da in der Standardeinstellung im Security Log dann ältere Einträge gelöscht werden. Zitieren
lefg 276 Geschrieben 29. März 2013 Melden Geschrieben 29. März 2013 Moin, falls im Ereignisprotokoll kein Login eingetragen, dann ist das Logging wohl nicht aktiviert, dann ist das im Nachherein auch nicht feststellbar Und falls der Kunde sich von deinem Vorgänger getrennt, diesem die dem Zugang nicht entzogen, na ja, .... . . Nun, Ich hab`s schon öfters erlebt, es könne nur den Admin, niemand anders gewesen sein, ....... . Bei solchen Leuten ist höchste Vorsicht geboten. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.