6
Aussperrung eines Benutzer in der ADS ( LOG Entries)
Hallo liebes Community,
wie ist es denn wenn ein Benutzer in der ADS gesperrt wird, kann ich durch den LOG erkennen bzw. habe ich überhaupt die Möglichkeit zu sehen, ob der Benutzer gerade gesperrt wurde oder nicht. Jetzt werdet ihr alle sagen, über "Active Directory" erkennt man, ob der Benutzer gesperrt wurde oder nicht. Mir geht es vielmehr darum, dass wenn ein Benutzer sich sperrt wir die Meldung bekommen z.B. via Monitoring das User "xyz" nun gesperrt wurde usw. damit man den User wieder entsperren kann.
In den Logs habe ich nichts gefunden, was annähernd danach klingt. Wenn jmd. mir helfen könnte, so wäre ich ihm sehr dankbar...
LG
Mr.White
wie ist es denn wenn ein Benutzer in der ADS gesperrt wird, kann ich durch den LOG erkennen bzw. habe ich überhaupt die Möglichkeit zu sehen, ob der Benutzer gerade gesperrt wurde oder nicht. Jetzt werdet ihr alle sagen, über "Active Directory" erkennt man, ob der Benutzer gesperrt wurde oder nicht. Mir geht es vielmehr darum, dass wenn ein Benutzer sich sperrt wir die Meldung bekommen z.B. via Monitoring das User "xyz" nun gesperrt wurde usw. damit man den User wieder entsperren kann.
In den Logs habe ich nichts gefunden, was annähernd danach klingt. Wenn jmd. mir helfen könnte, so wäre ich ihm sehr dankbar...
LG
Mr.White
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187160
Url: https://administrator.de/contentid/187160
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Das geht auf jeden Fall.
Im Ereignisprotokoll auf dem 2008er DC (Bereich Sicherheit)steht Folgendes:
Ereignis-ID 4740
Quelle: Microsoft Windows security auditing
Kontoname: BöserKennwortvergesser
Text: Ein Benutzerkonto wurde gesperrt.
Du musst nun mit diesem Event einen Task triggern, der Dir mit der dumpel.exe (Resourcekit) eben dieses Event raussucht und per blat.exe rübermailt.
Im Ereignisprotokoll auf dem 2008er DC (Bereich Sicherheit)steht Folgendes:
Ereignis-ID 4740
Quelle: Microsoft Windows security auditing
Kontoname: BöserKennwortvergesser
Text: Ein Benutzerkonto wurde gesperrt.
Du musst nun mit diesem Event einen Task triggern, der Dir mit der dumpel.exe (Resourcekit) eben dieses Event raussucht und per blat.exe rübermailt.
Vielen Dank für deine Antwort. Musste vorher eine Gruppenrichtlinie aktivieren, anschließend war es für mich möglich dieses Ereignis ID zu indentifizieren.
Nur das mit dem Triggern, sagt mir absolut nichts. Hast du evtl. eine Anleitung für mich wie ich das machen könnte. Hört sich danach an, als müsste ich was nachträgliches installieren.
Vielen Dank im voraus .
LG
Mr.White
Nur das mit dem Triggern, sagt mir absolut nichts. Hast du evtl. eine Anleitung für mich wie ich das machen könnte. Hört sich danach an, als müsste ich was nachträgliches installieren.
Vielen Dank im voraus .
LG
Mr.White
Hast Du einen 2003er Server? Da läuft es anders als bei 2008 / 08 R2.
Bei 2003: Mal das Kommando eventtriggers /create /? absetzen und sich dann ansehen, was man so machen kann. eventtriggers bringt Windows
dazu, bei definierten Ereignissen beliebige Aktionen auszulösen.
Das Selbe gibt es in 2008 und dort ist es schon in der Ereignisanzeige eingebaut - einfach an das Ereignis, welches Du eben hattest, ein Event anhängen über die sichtbaren Menüs.
Bei 2003: Mal das Kommando eventtriggers /create /? absetzen und sich dann ansehen, was man so machen kann. eventtriggers bringt Windows
dazu, bei definierten Ereignissen beliebige Aktionen auszulösen.
Das Selbe gibt es in 2008 und dort ist es schon in der Ereignisanzeige eingebaut - einfach an das Ereignis, welches Du eben hattest, ein Event anhängen über die sichtbaren Menüs.
Vielen Dank für dein Beitrag. Wir haben den WS Server 2008, Hätte nun noch eine kleine Frage,
kann ich überprüfen, ob auf welchem Servern das Event geschrieben wir (Wir haben zwei DC's)
1) Nur auf dem DC der die Anfrage beantwortet
2) Alle DCs
3) Nur auf dem PDC
Ich frag deshalb, weil unser Monitoring System über die Logdateien die Events auswerten wird.
Vielen Dank für deine Hilfe
LG
Mr.White
kann ich überprüfen, ob auf welchem Servern das Event geschrieben wir (Wir haben zwei DC's)
1) Nur auf dem DC der die Anfrage beantwortet
2) Alle DCs
3) Nur auf dem PDC
Ich frag deshalb, weil unser Monitoring System über die Logdateien die Events auswerten wird.
Vielen Dank für deine Hilfe
LG
Mr.White
Zitat von @DerWoWusste:
Hast Du einen 2003er Server? Da läuft es anders als bei 2008 / 08 R2.
Bei 2003: Mal das Kommando eventtriggers /create /? absetzen und sich dann ansehen, was man so machen kann. eventtriggers bringt
Windows
dazu, bei definierten Ereignissen beliebige Aktionen auszulösen.
Das Selbe gibt es in 2008 und dort ist es schon in der Ereignisanzeige eingebaut - einfach an das Ereignis, welches Du eben
hattest, ein Event anhängen über die sichtbaren Menüs.
Hast Du einen 2003er Server? Da läuft es anders als bei 2008 / 08 R2.
Bei 2003: Mal das Kommando eventtriggers /create /? absetzen und sich dann ansehen, was man so machen kann. eventtriggers bringt
Windows
dazu, bei definierten Ereignissen beliebige Aktionen auszulösen.
Das Selbe gibt es in 2008 und dort ist es schon in der Ereignisanzeige eingebaut - einfach an das Ereignis, welches Du eben
hattest, ein Event anhängen über die sichtbaren Menüs.
Hi,
magst du mir nicht mehr helfen ?
VG
Mr.White
Hi Mr. White.
Ich wundere mich gerade selbst, dass ich nicht geantwortet habe, sorry.
Das Event wird auf dem Logonserver (%Logonserver%) geschrieben, nicht auf allen DCs und wird auch nicht repliziert. Somit musst Du den Tasktrigger bei allen DCs anwenden.
Ich wundere mich gerade selbst, dass ich nicht geantwortet habe, sorry.
Das Event wird auf dem Logonserver (%Logonserver%) geschrieben, nicht auf allen DCs und wird auch nicht repliziert. Somit musst Du den Tasktrigger bei allen DCs anwenden.
