5
Warum gibt es immer mehrere User An- und Abmeldungen im Ereignissprotokoll mit ID 538 und 540 den Tag über obwohl die Anwender sich nicht abmelden
Obwohl User sich nicht an- und abmelden werden mehrere Einträge im Ereignissprotokoll vermerkt das sich ab- und angemeldet wird
Ich verstehe nicht warum es immer mehrere An- und Abmeldungen im Ereignissprotokoll auf unserem Windows 2003 Server gibt im Bereich Sicherheit mit Nummer 538 und 540 obwohl die nichts machen ausser arbeiten und sich nicht bewusst vom Netz trennen. Das ist bei fast allen Usern so nur bei Einem nicht. Der hat den Tag über nur 3 oder 4 Einträge und oft auch keine zeitlich passende Abmeldung. Also er geht um 17 Uhr, fährt ordnungsgemäß runter aber es gibt keinen Eintrag. Nur irgendwie 3 Stunden vorher. Oder flunkert er und macht einfach den Rechner aus ? Gibt es dann einen Abmeldeeintrag ? Oder ist etwas an dem User falsch ?
Es wäre mir lieb wenn ich den einen User so einstellen könnte das auch bei ihm alle Einträge so sind wie bei den Anderen. So ist mir irgendwie nicht wohl dabei. Oder sind alle Anderen falsch und müssen angepasst werden ?
Wo kann man denn diese vielfachen An- und Abmeldeeinträge bzw. überhaupt die Einträge dafür beineinflussen ?
Gruss
Chris
Es wäre mir lieb wenn ich den einen User so einstellen könnte das auch bei ihm alle Einträge so sind wie bei den Anderen. So ist mir irgendwie nicht wohl dabei. Oder sind alle Anderen falsch und müssen angepasst werden ?
Wo kann man denn diese vielfachen An- und Abmeldeeinträge bzw. überhaupt die Einträge dafür beineinflussen ?
Gruss
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 158002
Url: https://administrator.de/contentid/158002
Printed on: April 23, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hi Chris,
die Meldungen kommen dadurch zustande, dass Zugriffe stattfinden. Wenn Du da einen Domänencontroller hast, überträgt der zum Beispiel alle 90 Minuten die Gruppenrichtlinien. Greift jemand auf eine Resource zu (Drucker, der Server eingerichtet ist, Daten / Freigaben), wird geprüft, ob derjenige dazu berechtigt ist. Die Netzwerkverbindungen sind logische Verbindungen und werden nach einer gewissen Zeit abgebaut, wenn sie nicht verwendet werden. Anschließend mus beim nächsten Zugriff neu geprüft werden. Das sind die An- und Abmeldungen, die Du da siehst, die haben rein gar nichts mit den Benutzeran- und Abmeldungen zu tun.
Beispiel hierzu:
Hans Meier meldet sich um 7:52 Uhr morgens an, es erfolgt der erste Zugriff auf sein servergespeichertes Benutzerprofil, er meldet sich überhaupt an der Domäne an, also gibt es einen Eintrag. Nun tut Meier nix, der ist sein Geld nicht wert. Oder macht wichtigere Dinge, als sich mit dem PC beschäftigen. Ich weiß jetzt nicht, wie lange das dauert, irgendwann wird diese logische Verbindung abgebaut. Um 9:23 Uhr, also kurz nach der Frühstückspause will Meier mal wieder was mit dem PC tun, also erfolgt eine Anmeldung. Der User bekommt das nicht mit.
Der Kollege, der so selten in der Ereignisanzeige auftaucht, macht entweder sehr, sehr wenig am PC oder so viel mit so vielen Netzwerkzugriffen und Sicherheitsabfragen, dass es nicht zur Abmeldung kommt. Dass seine Abmeldezeit am Nachmittag nicht pass, könnte daran liegen, dass er seinen PC per Knopfdruck ausschaltet (gerne auch gesehen: Steckdosenleiste mit Zentralschalter) oder der PC ist im Standby oder Ruhezustand. Dann wird er nicht weiter heruntergefahren.
Die Einträge kannst Du nur in soweit beeinflussen, dass Du angeben kannst, welche An- und Abmeldeereignisse protokolliert werden sollen. Das stellst Du in den Gruppenrichtlinien unter Sicherheit ein.
Das, was Du anscheinend suchst, um zu kontrollieren, wann sich die Kollegen an- und wieder abmelden, also eine Art Arbeitszeitkontrolle, geht nur per Scripting, Zusatztools oder die gute alte Stechuhr.
Gruß
Jörg
Nacharbeit: Einen hab ich noch vergessen: Angenommen, der Kollege mit den wenigen Einträgen fährt wirklich korrekt sein System herunter, kann es sein, dass er schon längst logisch abgemeldet ist und kein servergespeichertes Proflil hat, also keine Zugriffe erzeugt.
Auch möglich wäre, dass die standardmäßig nicht protokollierten Anmeldefehlversuche bei dem Kollegen in die tausende pro Stunde gehen würden, wenn Du sie protokollieren lassen würdest. Ohne Anmeldung findet dann aber auch keine Abmeldung statt. So ein Indiz dafür kann sein, wenn sein PC bei manchen Dingen spürbar langsamer ist, als vergleichbare andere Rechner.
die Meldungen kommen dadurch zustande, dass Zugriffe stattfinden. Wenn Du da einen Domänencontroller hast, überträgt der zum Beispiel alle 90 Minuten die Gruppenrichtlinien. Greift jemand auf eine Resource zu (Drucker, der Server eingerichtet ist, Daten / Freigaben), wird geprüft, ob derjenige dazu berechtigt ist. Die Netzwerkverbindungen sind logische Verbindungen und werden nach einer gewissen Zeit abgebaut, wenn sie nicht verwendet werden. Anschließend mus beim nächsten Zugriff neu geprüft werden. Das sind die An- und Abmeldungen, die Du da siehst, die haben rein gar nichts mit den Benutzeran- und Abmeldungen zu tun.
Beispiel hierzu:
Hans Meier meldet sich um 7:52 Uhr morgens an, es erfolgt der erste Zugriff auf sein servergespeichertes Benutzerprofil, er meldet sich überhaupt an der Domäne an, also gibt es einen Eintrag. Nun tut Meier nix, der ist sein Geld nicht wert. Oder macht wichtigere Dinge, als sich mit dem PC beschäftigen. Ich weiß jetzt nicht, wie lange das dauert, irgendwann wird diese logische Verbindung abgebaut. Um 9:23 Uhr, also kurz nach der Frühstückspause will Meier mal wieder was mit dem PC tun, also erfolgt eine Anmeldung. Der User bekommt das nicht mit.
Der Kollege, der so selten in der Ereignisanzeige auftaucht, macht entweder sehr, sehr wenig am PC oder so viel mit so vielen Netzwerkzugriffen und Sicherheitsabfragen, dass es nicht zur Abmeldung kommt. Dass seine Abmeldezeit am Nachmittag nicht pass, könnte daran liegen, dass er seinen PC per Knopfdruck ausschaltet (gerne auch gesehen: Steckdosenleiste mit Zentralschalter) oder der PC ist im Standby oder Ruhezustand. Dann wird er nicht weiter heruntergefahren.
Die Einträge kannst Du nur in soweit beeinflussen, dass Du angeben kannst, welche An- und Abmeldeereignisse protokolliert werden sollen. Das stellst Du in den Gruppenrichtlinien unter Sicherheit ein.
Das, was Du anscheinend suchst, um zu kontrollieren, wann sich die Kollegen an- und wieder abmelden, also eine Art Arbeitszeitkontrolle, geht nur per Scripting, Zusatztools oder die gute alte Stechuhr.
Gruß
Jörg
Nacharbeit: Einen hab ich noch vergessen: Angenommen, der Kollege mit den wenigen Einträgen fährt wirklich korrekt sein System herunter, kann es sein, dass er schon längst logisch abgemeldet ist und kein servergespeichertes Proflil hat, also keine Zugriffe erzeugt.
Auch möglich wäre, dass die standardmäßig nicht protokollierten Anmeldefehlversuche bei dem Kollegen in die tausende pro Stunde gehen würden, wenn Du sie protokollieren lassen würdest. Ohne Anmeldung findet dann aber auch keine Abmeldung statt. So ein Indiz dafür kann sein, wenn sein PC bei manchen Dingen spürbar langsamer ist, als vergleichbare andere Rechner.
Stimmen denn die Zeiten auf Rechner und Server überein? Das ist auch eine häufige Fehlerquelle 
Wenn die Zeiten nicht stimmen würden, würde es die Anmeldefehlschlagsinfo geben, bei mehr als 5 Minuten Zeitunterschied würde unter Umständen sogar die Netzwerkanmeldung gleich ganz fehlschlagen und es gäbe keine Zugriffe mehr. Das kann aber insbesondere für den "einen" Rechner eine Möglichkeit sein, wenn die Arbeitsweise der entspricht, wie auch an den anderen Rechnern gearbeitet wird, ist zumindest mal einen Blick wert.
Danke Jörg für Deine super ausführliche Erklärung.
Du hast vollkommen recht, nun wird mir das auch klar. So hatte ich es noch garnicht gesehen. Wir arbeiten hier in der Steinzeit und mit lokalen Usereinstellungen/Profilen. Also die User melden sich lokal an und der Computer ist in der Domäne angemeldet. Keine servergespeicherten Profile demnach ist das genau der Grund wenn sie Resourcen nutzen oder länger nicht das Einträge gibt. Bei dem 'faulen' User stimmen die Zeiten also der scheint wirklich nur rumzuhängen
. Das einzige was er wohl macht ist, das er über unsere USG 1000 im Internet surft und weil das Gateway in seiner Netzkarte auf direkt darauf verweist braucht er wohl keine Domänanmeldung und wird somit wohl nicht protokolliert.
Ich finde aber leider nicht in den Gruppenrichtlinien das Untermenü wo ich an- und ausschalten kann welche Anmeldeereignisse protokolliert werden. Habe unter default policy unter Sicherheitseinstellungen bei Benutzer nichts passendes gefunden.
Du hast von Zusatztools gesprochen die ein An- und Abmelden protokollieren. Hast Du da ein Beispiel für ?
Gruss
Chris
Du hast vollkommen recht, nun wird mir das auch klar. So hatte ich es noch garnicht gesehen. Wir arbeiten hier in der Steinzeit und mit lokalen Usereinstellungen/Profilen. Also die User melden sich lokal an und der Computer ist in der Domäne angemeldet. Keine servergespeicherten Profile demnach ist das genau der Grund wenn sie Resourcen nutzen oder länger nicht das Einträge gibt. Bei dem 'faulen' User stimmen die Zeiten also der scheint wirklich nur rumzuhängen
. Das einzige was er wohl macht ist, das er über unsere USG 1000 im Internet surft und weil das Gateway in seiner Netzkarte auf direkt darauf verweist braucht er wohl keine Domänanmeldung und wird somit wohl nicht protokolliert.Ich finde aber leider nicht in den Gruppenrichtlinien das Untermenü wo ich an- und ausschalten kann welche Anmeldeereignisse protokolliert werden. Habe unter default policy unter Sicherheitseinstellungen bei Benutzer nichts passendes gefunden.
Du hast von Zusatztools gesprochen die ein An- und Abmelden protokollieren. Hast Du da ein Beispiel für ?
Gruss
Chris
Zuerst einmal ganz wichtig: Finger weg von den Default-Policies. Wenn Du Dir was vergeigst, kannst Du Dich schnell mal ausgeschlossen haben und kommst nicht mehr zurück. Auch für so banales Zeug würde ich immer eine neue Policy anlegen oder so eine verwenden, in denen man "sonstige" Einstellungen macht. Die hier würde sich aber schon gut "protokollierungen" oder so nennen lassen.
Wo Du das in den GPO findest (bei 2008, 2003 sihet glaube ich fast genauso aus):
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinie
Bedenke: Alles, was Du überwachen und mitschreiben lässt, verlangsamt das System. Also mal eben alles einzuschalten, macht nur bedingt Sinn.
Die Zusatztools: Hm, spontan weiß ich keins, ich hab das nie wirklich gebracuht, es lässt sich aber per WMI auslesen, also sollte das jedes zweite Programm können, was Dir auch im Netzwerk die Hard- und Software-Informationen einsammelt, angefangen bei SiSoftSandra über Spiceworks bis Nagios. Und natürlich viele kleinere, vielleicht auch spezialisierte Tools.
Eine andere Möglicheit ist noch folgende: Du baust An- und Abmeldescripte und lässt die per GPO ausführen. Das Script schreibt Dir einen frei definierbaren Eintrag fein säuberlich in eine Textdatei oder gerne auch in ein selbst erstelles Ereignislog, da kannst Du dann auch noch ganz nett filtern. Datei hätte den Vorteil der Auswertarkeit mit Tabellenkalkulationen.
Gruß
Jörg
Wo Du das in den GPO findest (bei 2008, 2003 sihet glaube ich fast genauso aus):
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinie
Bedenke: Alles, was Du überwachen und mitschreiben lässt, verlangsamt das System. Also mal eben alles einzuschalten, macht nur bedingt Sinn.
Die Zusatztools: Hm, spontan weiß ich keins, ich hab das nie wirklich gebracuht, es lässt sich aber per WMI auslesen, also sollte das jedes zweite Programm können, was Dir auch im Netzwerk die Hard- und Software-Informationen einsammelt, angefangen bei SiSoftSandra über Spiceworks bis Nagios. Und natürlich viele kleinere, vielleicht auch spezialisierte Tools.
Eine andere Möglicheit ist noch folgende: Du baust An- und Abmeldescripte und lässt die per GPO ausführen. Das Script schreibt Dir einen frei definierbaren Eintrag fein säuberlich in eine Textdatei oder gerne auch in ein selbst erstelles Ereignislog, da kannst Du dann auch noch ganz nett filtern. Datei hätte den Vorteil der Auswertarkeit mit Tabellenkalkulationen.
Gruß
Jörg
