Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Warum gibt es immer mehrere User An- und Abmeldungen im Ereignissprotokoll mit ID 538 und 540 den Tag über obwohl die Anwender sich nicht abmelden

Frage Microsoft Windows Server

Mitglied: Kreiselkopf

Kreiselkopf (Level 1) - Jetzt verbinden

04.01.2011 um 16:51 Uhr, 3263 Aufrufe, 5 Kommentare

Obwohl User sich nicht an- und abmelden werden mehrere Einträge im Ereignissprotokoll vermerkt das sich ab- und angemeldet wird

Ich verstehe nicht warum es immer mehrere An- und Abmeldungen im Ereignissprotokoll auf unserem Windows 2003 Server gibt im Bereich Sicherheit mit Nummer 538 und 540 obwohl die nichts machen ausser arbeiten und sich nicht bewusst vom Netz trennen. Das ist bei fast allen Usern so nur bei Einem nicht. Der hat den Tag über nur 3 oder 4 Einträge und oft auch keine zeitlich passende Abmeldung. Also er geht um 17 Uhr, fährt ordnungsgemäß runter aber es gibt keinen Eintrag. Nur irgendwie 3 Stunden vorher. Oder flunkert er und macht einfach den Rechner aus ? Gibt es dann einen Abmeldeeintrag ? Oder ist etwas an dem User falsch ?

Es wäre mir lieb wenn ich den einen User so einstellen könnte das auch bei ihm alle Einträge so sind wie bei den Anderen. So ist mir irgendwie nicht wohl dabei. Oder sind alle Anderen falsch und müssen angepasst werden ?

Wo kann man denn diese vielfachen An- und Abmeldeeinträge bzw. überhaupt die Einträge dafür beineinflussen ?

Gruss
Chris
Mitglied: YotYot
04.01.2011 um 17:24 Uhr
Hi Chris,

die Meldungen kommen dadurch zustande, dass Zugriffe stattfinden. Wenn Du da einen Domänencontroller hast, überträgt der zum Beispiel alle 90 Minuten die Gruppenrichtlinien. Greift jemand auf eine Resource zu (Drucker, der Server eingerichtet ist, Daten / Freigaben), wird geprüft, ob derjenige dazu berechtigt ist. Die Netzwerkverbindungen sind logische Verbindungen und werden nach einer gewissen Zeit abgebaut, wenn sie nicht verwendet werden. Anschließend mus beim nächsten Zugriff neu geprüft werden. Das sind die An- und Abmeldungen, die Du da siehst, die haben rein gar nichts mit den Benutzeran- und Abmeldungen zu tun.

Beispiel hierzu:
Hans Meier meldet sich um 7:52 Uhr morgens an, es erfolgt der erste Zugriff auf sein servergespeichertes Benutzerprofil, er meldet sich überhaupt an der Domäne an, also gibt es einen Eintrag. Nun tut Meier nix, der ist sein Geld nicht wert. Oder macht wichtigere Dinge, als sich mit dem PC beschäftigen. Ich weiß jetzt nicht, wie lange das dauert, irgendwann wird diese logische Verbindung abgebaut. Um 9:23 Uhr, also kurz nach der Frühstückspause will Meier mal wieder was mit dem PC tun, also erfolgt eine Anmeldung. Der User bekommt das nicht mit.

Der Kollege, der so selten in der Ereignisanzeige auftaucht, macht entweder sehr, sehr wenig am PC oder so viel mit so vielen Netzwerkzugriffen und Sicherheitsabfragen, dass es nicht zur Abmeldung kommt. Dass seine Abmeldezeit am Nachmittag nicht pass, könnte daran liegen, dass er seinen PC per Knopfdruck ausschaltet (gerne auch gesehen: Steckdosenleiste mit Zentralschalter) oder der PC ist im Standby oder Ruhezustand. Dann wird er nicht weiter heruntergefahren.

Die Einträge kannst Du nur in soweit beeinflussen, dass Du angeben kannst, welche An- und Abmeldeereignisse protokolliert werden sollen. Das stellst Du in den Gruppenrichtlinien unter Sicherheit ein.

Das, was Du anscheinend suchst, um zu kontrollieren, wann sich die Kollegen an- und wieder abmelden, also eine Art Arbeitszeitkontrolle, geht nur per Scripting, Zusatztools oder die gute alte Stechuhr.

Gruß

Jörg

Nacharbeit: Einen hab ich noch vergessen: Angenommen, der Kollege mit den wenigen Einträgen fährt wirklich korrekt sein System herunter, kann es sein, dass er schon längst logisch abgemeldet ist und kein servergespeichertes Proflil hat, also keine Zugriffe erzeugt.
Auch möglich wäre, dass die standardmäßig nicht protokollierten Anmeldefehlversuche bei dem Kollegen in die tausende pro Stunde gehen würden, wenn Du sie protokollieren lassen würdest. Ohne Anmeldung findet dann aber auch keine Abmeldung statt. So ein Indiz dafür kann sein, wenn sein PC bei manchen Dingen spürbar langsamer ist, als vergleichbare andere Rechner.
Bitte warten ..
Mitglied: 81007
04.01.2011 um 17:51 Uhr
Stimmen denn die Zeiten auf Rechner und Server überein? Das ist auch eine häufige Fehlerquelle
Bitte warten ..
Mitglied: YotYot
04.01.2011 um 18:57 Uhr
Wenn die Zeiten nicht stimmen würden, würde es die Anmeldefehlschlagsinfo geben, bei mehr als 5 Minuten Zeitunterschied würde unter Umständen sogar die Netzwerkanmeldung gleich ganz fehlschlagen und es gäbe keine Zugriffe mehr. Das kann aber insbesondere für den "einen" Rechner eine Möglichkeit sein, wenn die Arbeitsweise der entspricht, wie auch an den anderen Rechnern gearbeitet wird, ist zumindest mal einen Blick wert.
Bitte warten ..
Mitglied: Kreiselkopf
05.01.2011 um 10:19 Uhr
Danke Jörg für Deine super ausführliche Erklärung.
Du hast vollkommen recht, nun wird mir das auch klar. So hatte ich es noch garnicht gesehen. Wir arbeiten hier in der Steinzeit und mit lokalen Usereinstellungen/Profilen. Also die User melden sich lokal an und der Computer ist in der Domäne angemeldet. Keine servergespeicherten Profile demnach ist das genau der Grund wenn sie Resourcen nutzen oder länger nicht das Einträge gibt. Bei dem 'faulen' User stimmen die Zeiten also der scheint wirklich nur rumzuhängen . Das einzige was er wohl macht ist, das er über unsere USG 1000 im Internet surft und weil das Gateway in seiner Netzkarte auf direkt darauf verweist braucht er wohl keine Domänanmeldung und wird somit wohl nicht protokolliert.

Ich finde aber leider nicht in den Gruppenrichtlinien das Untermenü wo ich an- und ausschalten kann welche Anmeldeereignisse protokolliert werden. Habe unter default policy unter Sicherheitseinstellungen bei Benutzer nichts passendes gefunden.

Du hast von Zusatztools gesprochen die ein An- und Abmelden protokollieren. Hast Du da ein Beispiel für ?

Gruss
Chris
Bitte warten ..
Mitglied: YotYot
05.01.2011 um 14:07 Uhr
Zuerst einmal ganz wichtig: Finger weg von den Default-Policies. Wenn Du Dir was vergeigst, kannst Du Dich schnell mal ausgeschlossen haben und kommst nicht mehr zurück. Auch für so banales Zeug würde ich immer eine neue Policy anlegen oder so eine verwenden, in denen man "sonstige" Einstellungen macht. Die hier würde sich aber schon gut "protokollierungen" oder so nennen lassen.

Wo Du das in den GPO findest (bei 2008, 2003 sihet glaube ich fast genauso aus):
Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinie

Bedenke: Alles, was Du überwachen und mitschreiben lässt, verlangsamt das System. Also mal eben alles einzuschalten, macht nur bedingt Sinn.

Die Zusatztools: Hm, spontan weiß ich keins, ich hab das nie wirklich gebracuht, es lässt sich aber per WMI auslesen, also sollte das jedes zweite Programm können, was Dir auch im Netzwerk die Hard- und Software-Informationen einsammelt, angefangen bei SiSoftSandra über Spiceworks bis Nagios. Und natürlich viele kleinere, vielleicht auch spezialisierte Tools.

Eine andere Möglicheit ist noch folgende: Du baust An- und Abmeldescripte und lässt die per GPO ausführen. Das Script schreibt Dir einen frei definierbaren Eintrag fein säuberlich in eine Textdatei oder gerne auch in ein selbst erstelles Ereignislog, da kannst Du dann auch noch ganz nett filtern. Datei hätte den Vorteil der Auswertarkeit mit Tabellenkalkulationen.

Gruß

Jörg
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Mehrere User auf einem 2012-Server teilen sich eine MS-Office-Lizenz? (7)

Frage von Calvus zum Thema Windows Server ...

Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...