Jump to content

WIN Server 2008 R2 Anmeldungen an Server festellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Geschrieben

Hallo Gemeinsam,

lese hier schon öfters mit und nun war es an der Zeit mich auch mal anzumelden.

 

Ich benötige mal Expertenhilfe, ich muss gestehen das ich mich zu meiner Schande zu wenig mit Win Server 2008 R2 beschäftigt habe ( um ehrlich zu sein auf Serverbasis bis Win2k3 Server nicht mehr so viel.) also folgendes Szenario ich habe einen Kundengeerbt der immer von einem "Geschäftspartner" betreut wurde. Die Firma ist ein kleiner laden (Ein Server Augenscheinlich Win Server 2008 mit einer Domäne und 3-4 Clients )

 

Der Kunde besitzt einen Internetanschluss mit fester IP, der Kunde hat keinerlei Zugangsdaten zu seinem Server (Keine Administratorkennwörter, keine User mit Administrator Rechten). Jetzt über die Ostertage würde ich gerne ein bisschen Struktur / Grundrein bringen einige Sachen am ERP anpassen und und....

 

Zugang zu einem Administrator Account werde ich herstellen können, im Dialog mit dem Kunden äußerte der Kunde den Verdacht, das der ehemalige Administrator vermutlich Nachts öfters mal Schabernack betrieben hätte..... (Daten hin & her verschoben ... Lagerbestände im ERP verändert) (Ja der GF des Ladens ist nicht gerade EDV-Affin).

 

Das was ich bisher gesehen habe sind mehr als Schlampige Basis Installationen... Daher die Frage seht Ihr hier eine Möglichkeit herauszubekommen sag ich mal wann innerhalb der letzten 24 Monate wann  sich der "Administrator" auf den Server eingeloggt hat.

 

Habe im Selbsttest heute mal auf meinem Virtuellen einige Prüfungen durchgeführt und in den Ereignisprotokollen zu stöbern und und.. Aber irgendwie weiß ich gar nicht wonach ich schauen soll die Meisten An / Abmelde sind Augenscheinlich für mich unaussage Kräftig? hat einer von euch vielleicht eine schnelle Fixe Idee und / oder ein Query was mir helfen könnte....

 

vielen Dank im voraus und ich muss gestehen Super Community! ich les seit jahren mit und konnte schon den ein oder anderen Tipp / Lösungsansatz in den unendlichen weiten dieses Forums finden.

 

Geschrieben

Ja, kann man. Dafür gibt es umfangreiche Einstellungen in den Gruppenrichtlinien was alles geloggt wird.

 

Beispiel: http://www.techrepublic.com/blog/datacenter/auditing-user-accounts-in-windows-server-2008-r2/1262

 

Das entsprechend Event ist 4624: An account was successfully logged on

 

Ich weis gerade nicht mehr ob das im Standard an oder ausgeschaltet ist auf DCs. Musst du mal im Technet kramen. Desto mehr solche Ereignisse geloggt werden, desto kürzer ist üblicherweise der Zeitraum den man zurückgehen kann, da in der Standardeinstellung im Security Log dann ältere Einträge gelöscht werden.

Geschrieben

Moin,

 

falls im Ereignisprotokoll kein Login eingetragen, dann ist das Logging wohl nicht aktiviert, dann ist das im Nachherein auch nicht feststellbar Und falls der Kunde sich von deinem Vorgänger getrennt, diesem die dem Zugang nicht entzogen, na ja, .... . . Nun, Ich hab`s schon öfters erlebt, es könne nur den Admin, niemand anders gewesen sein, .......  . Bei solchen Leuten ist höchste Vorsicht geboten.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...