[2003 Server] Wie kann ich sehen, wer sich direkt am Server angemeldet hat?

[Dr. Neslihan 10]

Hallo,

 

gerade ist mir aufgefallen, das unter "Dokumente und Einstellungen" an unserem Server ein Profil eines User liegt. Nun habe ich den Verdacht, dass sich dieser User heimlich am Server angemeldet hat. Warum auch immer?!

 

Wie kann ich denn nun sehen, wann sich dieser User dort angemeldet hat?

In der Ereignisanzeige kann ich diesbezüglich nichts finden. Gibt es da noch bessere Möglichkeiten, dies herauszufinden?

[zahni 555]

Zutrittskontrolle zum Serverraum ?

 

-Zahni

[Dr. Neslihan 10]

Leider nicht.

Severraum = Papierlager. Jeder hat dort Zugang.

[traced82 10]

Einfach den Benutzern verbieten sich lokal am Server anzumelden, geht in den Sicherheitsrichtlinien für Domänencontroller.

[zahni 555]

Papier neben dem Server ?

 

*grusel*

 

Erkläre Deinem Chef, dass er persönlich haftet, wenn die Kiste abbrennt und die Daten futsch sind.

 

-Zahni

[humpi 11]

Hi,

da ja jeder Zugang hat, gibt es dann ja genug Feuerwehrmänner. ;-)

[traced82 10]

Kann es sein dass einfach bei diesem Benutzer kein Proflpfad eingetragen wurde, und deswegen das Profil direkt auf dem Server gespeichert wurde? Dann müsste er auch nicht direkt daran gesessen sein.

 

VG

Basti

 

Edit: Ich denke selbst wenn er sich lokal anmeldet, nimmt er doch das Profil aus dem Pfad, also da wo auch alle anderen liegen. Oder irre ich mich

[Dr. Neslihan 10]

Das habe ich schon überprüft. Der Pfad für das Servergespeicherte ist aber richtig eingetragen.

Ich habe auch schon in diesen Pfad reigeschaut. Das Datum "zuletzt geändert am:" ist auch von heute. Das Datum in "Dokumente..." auf dem Server ist vom 11.06.2006.

Bisher spricht also alles dafür, dass sich der besagte User wirklich dort eingeloggt hat. Was aber dagegenspricht, ist die mangelnde Erfahrung des Users.

 

 

Edit: Da hast recht, dennoch wird das Profil unter Dokumente und Einstellung gespeichert.

[Monarch 10]

Was aber dagegenspricht, ist die mangelnde Erfahrung des Users.

 

Ist ja nicht gesagt, dass er es wirklich war. Vielleicht kennt ein anderer sein Passwort?

[traced82 10]

Ja, aber nur zwischengespeichert, das sollte doch dann wieder gelöscht werden.

Vielleicht hat die Abmeldung nicht geklappt?

 

Aber verbiete halt einfach jedem ausser der Gruppe Admins und DomänenAdmins das lokale anmelden, dann brauchst Dir in Zukunft keinen Kopf mehr machen!

 

VG

[Dr. Neslihan 10]

@ Monarch

 

Richtig. Ich würde meinen Namen auch nicht verwenden, wenn ich hier mist bauen will.

Diese Möglichkeit besteht also.

 

@ traced82

 

Das habe ich gerade auch gemacht. Jeder User darf sich nur noch an seinem PC anmelden. Außer halt die Springer, diese dürfen dann an jedem PC der Betreffenden Abteilung arbeiten.

Das Admin-PW habe ich auch neu eingerichtet.

 

Bleibt nur die Frage, wer da was am Server wollte. Mir geistert schon das Wort Industriespionage durch den Kopf.

 

 

@ All

 

Gibt es denn ein Überwachungsprogramm, damit ich nachvollziehen kann, wer sich wann ein- und ausloggt?

[weg5st0 10]

Wenn das ein server ist, wird dieses Eevent im Sicherheitsprotokoll festgehalten!

 

Einfach das Protokoll mal so konfigurieren, daß da nicht so schnell gelöscht wird (Eigenschaften).

[grizzly999 11]

Strenger Verweis ! :D :D

 

Wo bitte bleiben solche Angaben wie Betriebssystem des Server, der Clients, WG oder Domäne, hat der betreffende User ein Servergespeichertes Benutzerprofil?

 

 

grizzly999

[Dr. Neslihan 10]

@ weg5st0

 

Dieses Protokoll habe ich schon durchgesehen. Ereignis 680 müsste das ja dann sein. Dort ist aber für den 11.01.2006 nichts mit diesem User zu finden.

 

@ all

 

Ich habe gerade bemerkt, dass das Profil nicht mehr komplett ist. Einige Ordner fehlen. Evtl. hat hier schon jemand versucht etwas zu löschen. Falls das Admin-PW bekannt war, könnte so eine Ereignisanzeige doch auch manipuliert worden sein. Ist das richtig?

 

edit:

 

@ grizzly999

 

Windows 2003 Server Standard Edition

Clients: Mix aus 2k und xp

Servergespeicherte Profile = Ja

Domäne = Ja

[grizzly999 11]

Und der Benutzer hat auch ein servergeseichertes Profil, seltsam? ich hätte nämlich sofort gemutmaßt, das der Benutzer keines hat, oder auf dem Client, auf dem er angemeldet ist keines hat, und auf DIESEM Server übers Netzwerk Dateien mit EFS verschlüsselt hat.

Dann würde der Server hergehen und ein abgespecktes Profil für den User auf dem Server selber anlegen anstatt es (das EFS-zertifikat des Benutzers) aus dem Roaming Profile holen.

Halt ....., wenn dem Server nicht für Delegierungszwecke vertraut wird, macht er das auch, das könnte die Lösung sein. Schau mal in den Profil-Order auf diesem Server rein, gibt es da eine etwas kryptische Datei á la 5fda4055c2c6c9749cfb127d823a6916_413421e4-d331-48dd-9413-d5d247f01fc6 im Ordner

C:\Dokumente und Einstellungen\<Username>\Anwendungsdaten\Microsoft\Crypto\RSA\<User-SID> ?

 

Dann wäre meine Vermutung naheliegend, ein Hochnotpeinliches Verhör des Benutzers könnte das bestätigen :D

 

 

grizzly999