Dr. Neslihan 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Hallo, gerade ist mir aufgefallen, das unter "Dokumente und Einstellungen" an unserem Server ein Profil eines User liegt. Nun habe ich den Verdacht, dass sich dieser User heimlich am Server angemeldet hat. Warum auch immer?! Wie kann ich denn nun sehen, wann sich dieser User dort angemeldet hat? In der Ereignisanzeige kann ich diesbezüglich nichts finden. Gibt es da noch bessere Möglichkeiten, dies herauszufinden? Zitieren
zahni 571 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Zutrittskontrolle zum Serverraum ? -Zahni Zitieren
Dr. Neslihan 10 Geschrieben 16. Januar 2006 Autor Melden Geschrieben 16. Januar 2006 Leider nicht. Severraum = Papierlager. Jeder hat dort Zugang. Zitieren
traced82 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Einfach den Benutzern verbieten sich lokal am Server anzumelden, geht in den Sicherheitsrichtlinien für Domänencontroller. Zitieren
zahni 571 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Papier neben dem Server ? *grusel* Erkläre Deinem Chef, dass er persönlich haftet, wenn die Kiste abbrennt und die Daten futsch sind. -Zahni Zitieren
humpi 11 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Hi, da ja jeder Zugang hat, gibt es dann ja genug Feuerwehrmänner. ;-) Zitieren
traced82 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Kann es sein dass einfach bei diesem Benutzer kein Proflpfad eingetragen wurde, und deswegen das Profil direkt auf dem Server gespeichert wurde? Dann müsste er auch nicht direkt daran gesessen sein. VG Basti Edit: Ich denke selbst wenn er sich lokal anmeldet, nimmt er doch das Profil aus dem Pfad, also da wo auch alle anderen liegen. Oder irre ich mich Zitieren
Dr. Neslihan 10 Geschrieben 16. Januar 2006 Autor Melden Geschrieben 16. Januar 2006 Das habe ich schon überprüft. Der Pfad für das Servergespeicherte ist aber richtig eingetragen. Ich habe auch schon in diesen Pfad reigeschaut. Das Datum "zuletzt geändert am:" ist auch von heute. Das Datum in "Dokumente..." auf dem Server ist vom 11.06.2006. Bisher spricht also alles dafür, dass sich der besagte User wirklich dort eingeloggt hat. Was aber dagegenspricht, ist die mangelnde Erfahrung des Users. Edit: Da hast recht, dennoch wird das Profil unter Dokumente und Einstellung gespeichert. Zitieren
Monarch 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Was aber dagegenspricht, ist die mangelnde Erfahrung des Users. Ist ja nicht gesagt, dass er es wirklich war. Vielleicht kennt ein anderer sein Passwort? Zitieren
traced82 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Ja, aber nur zwischengespeichert, das sollte doch dann wieder gelöscht werden. Vielleicht hat die Abmeldung nicht geklappt? Aber verbiete halt einfach jedem ausser der Gruppe Admins und DomänenAdmins das lokale anmelden, dann brauchst Dir in Zukunft keinen Kopf mehr machen! VG Zitieren
Dr. Neslihan 10 Geschrieben 16. Januar 2006 Autor Melden Geschrieben 16. Januar 2006 @ Monarch Richtig. Ich würde meinen Namen auch nicht verwenden, wenn ich hier mist bauen will. Diese Möglichkeit besteht also. @ traced82 Das habe ich gerade auch gemacht. Jeder User darf sich nur noch an seinem PC anmelden. Außer halt die Springer, diese dürfen dann an jedem PC der Betreffenden Abteilung arbeiten. Das Admin-PW habe ich auch neu eingerichtet. Bleibt nur die Frage, wer da was am Server wollte. Mir geistert schon das Wort Industriespionage durch den Kopf. @ All Gibt es denn ein Überwachungsprogramm, damit ich nachvollziehen kann, wer sich wann ein- und ausloggt? Zitieren
weg5st0 10 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Wenn das ein server ist, wird dieses Eevent im Sicherheitsprotokoll festgehalten! Einfach das Protokoll mal so konfigurieren, daß da nicht so schnell gelöscht wird (Eigenschaften). Zitieren
grizzly999 11 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Strenger Verweis ! :D :D Wo bitte bleiben solche Angaben wie Betriebssystem des Server, der Clients, WG oder Domäne, hat der betreffende User ein Servergespeichertes Benutzerprofil? grizzly999 Zitieren
Dr. Neslihan 10 Geschrieben 16. Januar 2006 Autor Melden Geschrieben 16. Januar 2006 @ weg5st0 Dieses Protokoll habe ich schon durchgesehen. Ereignis 680 müsste das ja dann sein. Dort ist aber für den 11.01.2006 nichts mit diesem User zu finden. @ all Ich habe gerade bemerkt, dass das Profil nicht mehr komplett ist. Einige Ordner fehlen. Evtl. hat hier schon jemand versucht etwas zu löschen. Falls das Admin-PW bekannt war, könnte so eine Ereignisanzeige doch auch manipuliert worden sein. Ist das richtig? edit: @ grizzly999 Windows 2003 Server Standard Edition Clients: Mix aus 2k und xp Servergespeicherte Profile = Ja Domäne = Ja Zitieren
grizzly999 11 Geschrieben 16. Januar 2006 Melden Geschrieben 16. Januar 2006 Und der Benutzer hat auch ein servergeseichertes Profil, seltsam? ich hätte nämlich sofort gemutmaßt, das der Benutzer keines hat, oder auf dem Client, auf dem er angemeldet ist keines hat, und auf DIESEM Server übers Netzwerk Dateien mit EFS verschlüsselt hat. Dann würde der Server hergehen und ein abgespecktes Profil für den User auf dem Server selber anlegen anstatt es (das EFS-zertifikat des Benutzers) aus dem Roaming Profile holen. Halt ....., wenn dem Server nicht für Delegierungszwecke vertraut wird, macht er das auch, das könnte die Lösung sein. Schau mal in den Profil-Order auf diesem Server rein, gibt es da eine etwas kryptische Datei á la 5fda4055c2c6c9749cfb127d823a6916_413421e4-d331-48dd-9413-d5d247f01fc6 im Ordner C:\Dokumente und Einstellungen\<Username>\Anwendungsdaten\Microsoft\Crypto\RSA\<User-SID> ? Dann wäre meine Vermutung naheliegend, ein Hochnotpeinliches Verhör des Benutzers könnte das bestätigen :D grizzly999 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.