Active Directory - Überwachungsrichlinie
Guten Tag
also es geht um ein kleines Problem ,,,bezueglich Active Directory ( Windows Server 2003 SR2 )
wie kann ich einen Focus ( Überwachung ) auf einen User richten um zu Protokollieren was dieser alles treibt !
es ist ein Administrativer Account in der Domäne der bestimmte Dienste anschiebt , dieser wird aufgrund einer mir nicht bekannten Aktion immer wieder deaktiviert ( Konto inaktiviert ) , somit wird auch ein Backup immer wieder abgebrochen , dieses mal als Randinformation !
wie es für Computer geht weiss ich ,,,über die Administrativen Vorlagen ,,,aber für nen User ?????????????
Ich möchte per Richtlinie überprüfen was dieser Account macht um nachzuvollziehen wo der Fehler liegt ! ( warum also der Account deaktiviert wird )
vorweg ,,,der Fehler ist aufgelaufen als der Account nen neues Kennwort bekommen hat !
das mal als Intro ...der Rest kann dann im Verlauf erörtert werden ,,,sofern möglich !!!
Thx erstmal !!!
also es geht um ein kleines Problem ,,,bezueglich Active Directory ( Windows Server 2003 SR2 )
wie kann ich einen Focus ( Überwachung ) auf einen User richten um zu Protokollieren was dieser alles treibt !
es ist ein Administrativer Account in der Domäne der bestimmte Dienste anschiebt , dieser wird aufgrund einer mir nicht bekannten Aktion immer wieder deaktiviert ( Konto inaktiviert ) , somit wird auch ein Backup immer wieder abgebrochen , dieses mal als Randinformation !
wie es für Computer geht weiss ich ,,,über die Administrativen Vorlagen ,,,aber für nen User ?????????????
Ich möchte per Richtlinie überprüfen was dieser Account macht um nachzuvollziehen wo der Fehler liegt ! ( warum also der Account deaktiviert wird )
vorweg ,,,der Fehler ist aufgelaufen als der Account nen neues Kennwort bekommen hat !
das mal als Intro ...der Rest kann dann im Verlauf erörtert werden ,,,sofern möglich !!!
Thx erstmal !!!
Please also mark the comments that contributed to the solution of the article
Content-Key: 134078
Url: https://administrator.de/contentid/134078
Printed on: April 20, 2024 at 03:04 o'clock
10 Comments
Latest comment
Hallo,
solche Probleme treten auf, wenn ein Prozess (Dienst, Geplanter Task, Benutzer etc) unter einem Benutzer ausgeführt wird, von diesem das Kennwort geändert und abschließend vergessen wird, in all diesen Automatisierten Tasks oder Diensten das Kennwort zu aktualisieren.
Das Backup startet, meldet sich mit den alten Anmeldedaten am System an, dieses verweigert den Zugriff und nach X versuchen wird der Account gesperrt.
Du kannst eigentlich nur herausfinden was dies verursacht, wenn du beginnend von den Domänencontrollern im Sicherheitsprotokoll nach gescheiterten Anmeldungen suchst.
Normalerweise sollte ein Blick in deine Dokumentation genau verraten wo dieser Account überall hinterlegt wurde.
solche Probleme treten auf, wenn ein Prozess (Dienst, Geplanter Task, Benutzer etc) unter einem Benutzer ausgeführt wird, von diesem das Kennwort geändert und abschließend vergessen wird, in all diesen Automatisierten Tasks oder Diensten das Kennwort zu aktualisieren.
Das Backup startet, meldet sich mit den alten Anmeldedaten am System an, dieses verweigert den Zugriff und nach X versuchen wird der Account gesperrt.
Du kannst eigentlich nur herausfinden was dies verursacht, wenn du beginnend von den Domänencontrollern im Sicherheitsprotokoll nach gescheiterten Anmeldungen suchst.
Normalerweise sollte ein Blick in deine Dokumentation genau verraten wo dieser Account überall hinterlegt wurde.
Hallo.
Schau einmal hier nach - http://www.mcseboard.de/active-directory-forum-79/domaenen-admin-automa ...
LG Günther
Schau einmal hier nach - http://www.mcseboard.de/active-directory-forum-79/domaenen-admin-automa ...
LG Günther
Hallo.
Wenn du das derart durchführst, dann bist du selbst schuld Als Admin derartiger Systeme sollte man zumindest mit einem Tool wie dem LogParser auf Du und Du sein - http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
LG Günther
aber bei über 80 Servern gestaltet es sich etwas schwierig auf jedem DC ( 12 ) sich die Ereignisprotokolle anzuschauen
Wenn du das derart durchführst, dann bist du selbst schuld Als Admin derartiger Systeme sollte man zumindest mit einem Tool wie dem LogParser auf Du und Du sein - http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
LG Günther
Wenn du über eine Dokumentation verfügen würdest, wo der Account überall hinterlegt wurde, hättest du dieses Problem nicht. Warum änderst du das PW eigentlich? Normalerweise sind solche Konten dezidiert, mt sehr langen kennwörtern versehen und die interaktive Anmeldung versolche Konten verboten. Wenn du das AD-Objekt zusätzlich vor Usern schützt ist es fast unmöglich etwas mit einem solchen Account anzustellen.
Meine PWD´s für solche Konten sind
Von zig Leuten verwendete pipe zur Erstellung von Kennwörtern. Das ganze in einem Script verwendet und gleich in die Dokumentation geschrieben.
Wie prüft ihr denn Sicherheitsverletzungen im Netzwerk wenn du keinerlei Werkzeug hast, um deine 80 Server zu kontrollieren? Therretisch könnte genau jetzt jemand mit einem Script alle Accounts sperren ohne das du es merkst. Per LDAP alle User-Objekte aus dem AD ziehen und gleich 10 Anmeldungen mit falschen Kennwörtern hinterherschicken. Das ganze alle 60 Minuten, DoS.
Meine PWD´s für solche Konten sind
$> cat /dev/urandom|tr -dc "a-zA-Z0-9-_\$\?"|fold -w 32|head -n 1
2L1p41wTJ8INoRhv68D8-4KAaRCOzDtT?yy$ycsYsMK28V4Rc9
Wie prüft ihr denn Sicherheitsverletzungen im Netzwerk wenn du keinerlei Werkzeug hast, um deine 80 Server zu kontrollieren? Therretisch könnte genau jetzt jemand mit einem Script alle Accounts sperren ohne das du es merkst. Per LDAP alle User-Objekte aus dem AD ziehen und gleich 10 Anmeldungen mit falschen Kennwörtern hinterherschicken. Das ganze alle 60 Minuten, DoS.
Naja, warum auch immer. Um deine Suche etwas einzugrenzen, kannst du die genaue Uhrzeit der Accountsperre aus dem AD-Objekt lesen. Eventuell helfen dir noch andere Attribute bei der weiteren Eingrenzung. Diese findest du in der Microsoft-MSDN
Normalerweise versucht Windows bei fehlgeschlagenen Anmeldevorgängen, bevor der Anmeldevorgang endgültig abgewiesen wird, eine Prüfung am PDC-Emulator der Domäne. Im Sicherheitsprotokoll dieses Servers solltest du auf jeden Fall einen entsprechenden Eintrag finden.
Normalerweise versucht Windows bei fehlgeschlagenen Anmeldevorgängen, bevor der Anmeldevorgang endgültig abgewiesen wird, eine Prüfung am PDC-Emulator der Domäne. Im Sicherheitsprotokoll dieses Servers solltest du auf jeden Fall einen entsprechenden Eintrag finden.