3
AD Überwachung nach unterschiedlichen Ereignissen
Hallo zusammen,
ich würde gerne unsere AD überwachen nach den folgenden Ereignissen.
- Fehlgeschlagene Anmeldeversuche (der User tippt sein Passwort falsch ein)
- Bestimmte Ordnerzugriffe überwachen die auf dem DC liegen
- Veränderungen an der AD durch Admins (zb Veränderungen bzw. Erstellung einer GPO oder erstellen eines Users usw.)
Die Fehlgeschlagenen Anmeldeversuche möchte ich unter Computer > lokale Richtlinien > Überwachung > Fehler aktiviert.
Ordner Überwachung habe ich den Eigenschaften des Ordner aktiviert und Computer > lokale Richtlinien > Überwachung > Objektzugriffsversuche / Verzeichnisdienstzugriff ??? (was wäre das richtige)
Welche Option müsste ich noch aktivieren um die Änderungen der Admins mit zukriegen?
Ich würde dann auch in der Ereignisanzeige nach genau diesen Einträgen suchen. Gibt es da bestimmte Suchkriterien die mir dann genau die gewünschten Ereignisse anzeigen?
Ich würde diese Einstellungen in einer GPO eintragen die nur für die Domain Controller gilt. Wäre dies so richtig oder müssten diese Einstellungen für alle Clients der Domäne gelten?
Das ganze findet auf einem Win2008R2 statt.
Hoffe auf Tipps.
Lg und vielen Dank
ich würde gerne unsere AD überwachen nach den folgenden Ereignissen.
- Fehlgeschlagene Anmeldeversuche (der User tippt sein Passwort falsch ein)
- Bestimmte Ordnerzugriffe überwachen die auf dem DC liegen
- Veränderungen an der AD durch Admins (zb Veränderungen bzw. Erstellung einer GPO oder erstellen eines Users usw.)
Die Fehlgeschlagenen Anmeldeversuche möchte ich unter Computer > lokale Richtlinien > Überwachung > Fehler aktiviert.
Ordner Überwachung habe ich den Eigenschaften des Ordner aktiviert und Computer > lokale Richtlinien > Überwachung > Objektzugriffsversuche / Verzeichnisdienstzugriff ??? (was wäre das richtige)
Welche Option müsste ich noch aktivieren um die Änderungen der Admins mit zukriegen?
Ich würde dann auch in der Ereignisanzeige nach genau diesen Einträgen suchen. Gibt es da bestimmte Suchkriterien die mir dann genau die gewünschten Ereignisse anzeigen?
Ich würde diese Einstellungen in einer GPO eintragen die nur für die Domain Controller gilt. Wäre dies so richtig oder müssten diese Einstellungen für alle Clients der Domäne gelten?
Das ganze findet auf einem Win2008R2 statt.
Hoffe auf Tipps.
Lg und vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 333126
Url: https://administrator.de/contentid/333126
Printed on: April 27, 2024 at 00:04 o'clock
3 Comments
Latest comment
Such hier mal nach AD Auditing da findest du höllisch viel dazu.
z.B.
Protokollierung gelöschter Dateien auf einem Fileserver
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
Gruß p.
z.B.
Protokollierung gelöschter Dateien auf einem Fileserver
Überwachen von wichtigen Active Directory Gruppen mit auslösen einer Mail bei Änderung
Gruß p.
1
Danke für den Tipp.
Aber da finde ich leider nur teilweise die Infos die ich brauche :S
Lg
Aber da finde ich leider nur teilweise die Infos die ich brauche :S
Lg
?? Was denn nicht?
Wenn das Auditing in den lokalen Sicherheitsrichtlinien aktiviert ist brauchst du nur noch das Eventlog mit dem XPath Filter filtern und schon hast du die gewünschte Ansicht. Damit kannst du so ziemlich alles abbilden und ausfiltern was du in den XML-Daten der Events sehen kannst.
Schau dir dir Threads mal ganz genau an.
Wenn das Auditing in den lokalen Sicherheitsrichtlinien aktiviert ist brauchst du nur noch das Eventlog mit dem XPath Filter filtern und schon hast du die gewünschte Ansicht. Damit kannst du so ziemlich alles abbilden und ausfiltern was du in den XML-Daten der Events sehen kannst.
Schau dir dir Threads mal ganz genau an.