Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory - Überwachungsrichlinie

Frage Netzwerke Netzwerkmanagement

Mitglied: HisMasterVoice

HisMasterVoice (Level 1) - Jetzt verbinden

21.01.2010, aktualisiert 28.03.2010, 5361 Aufrufe, 10 Kommentare

Guten Tag


also es geht um ein kleines Problem ,,,bezueglich Active Directory ( Windows Server 2003 SR2 )

wie kann ich einen Focus ( Überwachung ) auf einen User richten um zu Protokollieren was dieser alles treibt !

es ist ein Administrativer Account in der Domäne der bestimmte Dienste anschiebt , dieser wird aufgrund einer mir nicht bekannten Aktion immer wieder deaktiviert ( Konto inaktiviert ) , somit wird auch ein Backup immer wieder abgebrochen , dieses mal als Randinformation !

wie es für Computer geht weiss ich ,,,über die Administrativen Vorlagen ,,,aber für nen User ?????????????

Ich möchte per Richtlinie überprüfen was dieser Account macht um nachzuvollziehen wo der Fehler liegt ! ( warum also der Account deaktiviert wird )


vorweg ,,,der Fehler ist aufgelaufen als der Account nen neues Kennwort bekommen hat !




das mal als Intro ...der Rest kann dann im Verlauf erörtert werden ,,,sofern möglich !!!



Thx erstmal !!!
Mitglied: datasearch
21.01.2010 um 22:40 Uhr
Hallo,

solche Probleme treten auf, wenn ein Prozess (Dienst, Geplanter Task, Benutzer etc) unter einem Benutzer ausgeführt wird, von diesem das Kennwort geändert und abschließend vergessen wird, in all diesen Automatisierten Tasks oder Diensten das Kennwort zu aktualisieren.

Das Backup startet, meldet sich mit den alten Anmeldedaten am System an, dieses verweigert den Zugriff und nach X versuchen wird der Account gesperrt.

Du kannst eigentlich nur herausfinden was dies verursacht, wenn du beginnend von den Domänencontrollern im Sicherheitsprotokoll nach gescheiterten Anmeldungen suchst.

Normalerweise sollte ein Blick in deine Dokumentation genau verraten wo dieser Account überall hinterlegt wurde.
Bitte warten ..
Mitglied: GuentherH
21.01.2010 um 22:48 Uhr
Bitte warten ..
Mitglied: HisMasterVoice
22.01.2010 um 12:38 Uhr
Danke bis hierhin ,,,,aber bei über 80 Servern gestaltet es sich etwas schwierig auf jedem DC ( 12 ) sich die Ereignisprotokolle anzuschauen , deswegen wollte ich den Focus auf den Account legen !



Gruss Jürgen
Bitte warten ..
Mitglied: GuentherH
22.01.2010 um 19:59 Uhr
Hallo.

aber bei über 80 Servern gestaltet es sich etwas schwierig auf jedem DC ( 12 ) sich die Ereignisprotokolle anzuschauen

Wenn du das derart durchführst, dann bist du selbst schuld Als Admin derartiger Systeme sollte man zumindest mit einem Tool wie dem LogParser auf Du und Du sein - http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...

LG Günther
Bitte warten ..
Mitglied: HisMasterVoice
22.01.2010 um 20:43 Uhr
Hehehe ...bisher hatten wir auch nicht die Probleme , bin mir also keiner Nachlässigkeit bewusst !

renn ja auch nicht den ganzen Tag mit nem Schneidbrenner rum , weil ich eventuell von nem Leopard 2 Panzer eingeparkt werden könnte !!! :D

dann wollen mer mal schauen was der LogParser kann !!



Thx ,,,,,
Bitte warten ..
Mitglied: GuentherH
22.01.2010 um 21:18 Uhr
Hallo.

renn ja auch nicht den ganzen Tag mit nem Schneidbrenner rum , weil ich eventuell von nem Leopard 2 Panzer eingeparkt werden könnte !!! :D

Ich auch nicht. Aber auf meiner Parkplatz steht jemand, der mich anruft, wenn sich ein Leopard vor mein Auto stellt

LG Günther
Bitte warten ..
Mitglied: datasearch
23.01.2010 um 14:04 Uhr
Wenn du über eine Dokumentation verfügen würdest, wo der Account überall hinterlegt wurde, hättest du dieses Problem nicht. Warum änderst du das PW eigentlich? Normalerweise sind solche Konten dezidiert, mt sehr langen kennwörtern versehen und die interaktive Anmeldung versolche Konten verboten. Wenn du das AD-Objekt zusätzlich vor Usern schützt ist es fast unmöglich etwas mit einem solchen Account anzustellen.

Meine PWD´s für solche Konten sind
01.
$> cat /dev/urandom|tr -dc "a-zA-Z0-9-_\$\?"|fold -w 32|head -n 1 
02.
2L1p41wTJ8INoRhv68D8-4KAaRCOzDtT?yy$ycsYsMK28V4Rc9
Von zig Leuten verwendete pipe zur Erstellung von Kennwörtern. Das ganze in einem Script verwendet und gleich in die Dokumentation geschrieben.

Wie prüft ihr denn Sicherheitsverletzungen im Netzwerk wenn du keinerlei Werkzeug hast, um deine 80 Server zu kontrollieren? Therretisch könnte genau jetzt jemand mit einem Script alle Accounts sperren ohne das du es merkst. Per LDAP alle User-Objekte aus dem AD ziehen und gleich 10 Anmeldungen mit falschen Kennwörtern hinterherschicken. Das ganze alle 60 Minuten, DoS.
Bitte warten ..
Mitglied: HisMasterVoice
25.01.2010 um 08:32 Uhr
wie gesagt ...bisher keine Problem gehabt und kamen mit den Standardfeatures klar !


hier befinden wir uns in der Situation das die Domäne geswitcht wird und sowohl in der alten wie auch in der neuen Dom der User ( es ist ein definiertes Konto ) als Administrativer Account eingerichtet ist !

vonwegen ...never change a running System !

mit der Doku ,,,naja ,,es ist ausdokumentiert ,,,nur gibt es bei 10 verantwortlichen immer einen oder 2 oder 3 ...die hier und da mal nen Schraubenzieher liegen lassen ,,,und den suchen wir jetzt !

Kennwort wurde geändert ,,,weil es in der neuen DOM nicht das selbe sein sollte !!! :D


Und Bange machen gilt nicht , wir bekommen schon mit wenn was nicht richtig läuft ,,,und bisher war ja auch immer alles vollkommen ok ,,nur das ist jetzt ein ausserordentliches Problem wegen der Switchsituation !


Gruss Jürgen
Bitte warten ..
Mitglied: datasearch
25.01.2010 um 15:08 Uhr
Naja, warum auch immer. Um deine Suche etwas einzugrenzen, kannst du die genaue Uhrzeit der Accountsperre aus dem AD-Objekt lesen. Eventuell helfen dir noch andere Attribute bei der weiteren Eingrenzung. Diese findest du in der Microsoft-MSDN

Normalerweise versucht Windows bei fehlgeschlagenen Anmeldevorgängen, bevor der Anmeldevorgang endgültig abgewiesen wird, eine Prüfung am PDC-Emulator der Domäne. Im Sicherheitsprotokoll dieses Servers solltest du auf jeden Fall einen entsprechenden Eintrag finden.
Bitte warten ..
Mitglied: HisMasterVoice
26.01.2010 um 14:41 Uhr
so ,,,,das Problem wurde erkannt und beseitigt !!!

und zwar sind in der Dom. an den jeweiligen Standorten Server die für das Verwalten des Dokumentenmanagmentsystem verantworlich sind die Ursache für den Fehler , auf den jeweiligen Servern waren Tasks eingerichtet die ein Backup gezogen haben (diese Tasks waren mit dem besagten User eingerichtet ).!

Thx .....


btw... der LogParser scheint ne ordentliche Lösung zu sein und ich werde mich da weiter reinarbeiten , da es auch ne GUI(Lizzard) dafür gibt ,,kann man es auch etwas komfortabel gestalten !

mit den Querys muss man sich dann schon etwas genauer befassen , aber es scheint sich zu lohnen ,,,,we will see .....thx bis hierhin !!


Gruss Jürgen
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...