SilenceSG1 10 Geschrieben 10. Mai 2006 Melden Teilen Geschrieben 10. Mai 2006 Hallo Leutz, ich habe mal ne Frage. Und zwar haben wir einige Server W2k und W2k3!!! So davon ist einer ein Domaincontroller und ein anderer der Proxiserver. Auf dem proxi läuft nen Tool womit man sehen kann, welche angemeldete Benutzer (an der Domain) im Internet Surft, auf welchen Seiten und und und. So da jetzt aber ca 500 PC´s da sind bringt mir der Benutzername nicht viel, vermute Account wurde gehackt, bzw Passwort abgeguckt oda so! Jetzt möchte ich gerne über den Domaincontroller oda mit einem Tool herausfinden, welcher Benutzername sich dann an welchem PC angemeldet hat, sprich das ich entweder den Hostname oda die IP des Clienten weiss, so dass man den User dann ansprechen aknn und es ihm nachweisen kann. Hatte sonen Tool "Hyena" oda so zum testen installiert, da sehe ich aber nur über die Registerkarte computer wnen ich dann eine auswähle welche Benutzer dort aktiv ist, aber ich kann ja nicht hunderte von Pc´s durchsuchen. Und andersrum über das Register Benutzer steht leider nix vom computer :-( Kennt von euch einer ein Tool oder ne möglichkeit vll windows server internmäßig das herauszubekommen? Hoffe ihr habt mein Problem verstanden :-) Danke schonmal im vorraus!!! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Mai 2006 Melden Teilen Geschrieben 10. Mai 2006 mit etwas mehr Struktur in deinem Text wäre dein Problem sicher leichter zu verstehen. Wenn ichs richtig verstanden habe, musst du am DC im SecurityLog auf das Event 540 und den betroffenen User filtern, dann bekommst du die IP-Adresse. cu blub Zitieren Link zu diesem Kommentar
SilenceSG1 10 Geschrieben 11. Mai 2006 Autor Melden Teilen Geschrieben 11. Mai 2006 Danke für die rasche Antwort, kannst du mir das vll einmal kurt Schritt für Schritt erklären? Wäre supi dann könnte ich mir das ausdrucken und dann mal nachvollziehen! Danke schonmal... schönen Abend noch! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. Mai 2006 Melden Teilen Geschrieben 11. Mai 2006 EVENTVWR.MSC Klick auf Sicherheitsprotokoll Ansicht - Filter Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 11. Mai 2006 Melden Teilen Geschrieben 11. Mai 2006 oder eventmgr.msc -> ? -> Hilfethemen - Filtern cu blub Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Ich habe das anders gelöst: Es gibt auf dem Server eine Freigabe "PCNutzer", dort wird beim Login-Script echo %computername% >>\\server\PCNutzer\%Username%.txt Jede Nacht läuft auf dem DC eine Batch-Datei die das Verzeichnis leert. Ich brauche das übrigens zu Support-Zwecken. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.