lordnicon79
Goto Top

Protokollierung von Systemänderungen

Hallo zusammen,

ich würde gerne auf dem SBS2008 irgendwie protokollieren was an Systemänderungen von einem bestimmten User durchgeführt werden.
Ich weiß das es eine recht schwammige Aussage von mir ist, aber ich denke so an z.B.:
- Ordnerberechtigungen (vielleicht sogar bei Datei-Berechtigungen)
- Systemeinstellungen
-Wann an oder ab gemeldet (Hierzu kommt gleich noch eine weitere Frage)
- Alles was so interessant wäre, wenn man jemandne sucht, der evtl. nicht weiß was er tut und mal hier und da herum stöbert und das System so verbiegt wie es ihm gut erscheint.

Mir ist auch gerne ein zusätzliches Tool willkommen, dass die Protokollierung mit adminrechten übernimmt . Egal wie groß evtl. dieses Protokoll wird!


Hier nun zur zweiten Frage:
Gibt es eine Möglichkeit, oder kennt jemand ein Tool mit dem man bei jedem lokalen Anmelden /oder beim anmelden per Terminal Session , eine mail an eine Adresse schickt ?

Vielen Dank schon mal für Eure Hilfe !

(Gerne geb ich auch noch mehr Infos dazu, wenn es Hilft!)

Content-Key: 212481

Url: https://administrator.de/contentid/212481

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.07.2013 um 15:25:23 Uhr
Goto Top
Hallo,

Jemand, mit den Eigenschaften sollte keine Admin-Rechte bekommen. Wenn du dem Personenkreis nicht klar machen kannst, dass dies nicht OK ist musst du eben über etwaige Instandhaltungskosten aufzeigen, dass es teurer ist selbst herum zu pfuschen als es gleich ordentlich machen zu lassen. Eine Unterschriebene Erklärung, dass du dafür dann keine Verantwortung übernimmst ist auch ratsam.

Grüße
Mitglied: LordNicon79
LordNicon79 25.07.2013 um 15:44:22 Uhr
Goto Top
Jepp .. ist bereits in arbeit, aber dennoch möchte ich es belegen können.
Ich arbeite vorausschauend und wenn ich vorher gewarnt werde, dass sich jemand angemeldet hat und was da läuft, dann gibts hoffentlich noch rechtzeitig nen schlag in den Nacken (Bildlich gesehen).

Als Admin hat man halt die A Karte, denn wenn es erst kaputt ist .. wer machts wieder heile ?
also nicht erst dazu kommen lassen.

für die Mail geschichte, überlege ich einfach zwei scripte mit an und abmeldemail über blat zu erstellen.

Der Rest wird aber schon knackiger !
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.07.2013 um 15:55:56 Uhr
Goto Top
Das ist mir bekannt - deswegen: Schriftlich geben lassen.
Abgesehen davon weiss ich nicht, in wiefern man noch eine Bestätigung vom "überwachten" benötigt, um keinen Verstoß gegen evtl Datenschutz zu begehen.

Schöne Grüße
Mitglied: Pjordorf
Pjordorf 25.07.2013 um 18:56:34 Uhr
Goto Top
Hallo,

Zitat von @LordNicon79:
was an Systemänderungen von einem bestimmten User durchgeführt werden.
Dir ist schon klar das nur Benutzer welche zu den Administratoren gehören an einem Server OS irgendetwas ändern können was anderen oder das System selbst schaden kann? Wieso hat ein Anwender Administrative Rechte (Gruppe Domänen-Admins usw.) wenn dieser Anwender nur alles aus unwissenheit kaputt macht? Der hat auf ein Server OS als Benutzer mit Administrativen Rechten NULL Nichts NADA 0 Verloren. Das kann selbst der dümmste GF einer Fima erkennen wenn man es ihm darlegt und vor allem welche Stillstände seine Firma dadurch haben wird. Und wenn es wie so oft der Inhaber / GF selbst ist der es will, dann muss dieser auch mit den Konsequenzen seines Tuns leben und dafür gerade stehen. Für dich als wissender Admin ist es doch da leicht ihm grundsätzlich alles in die Schuhe zu schieben. Wieso hat da nicht jeder Admin sein eigenes Admin Konto? Dadurch ist das Anmelden ja schon klar im Ereignissprotokoll geloggt,

Gibt es eine Möglichkeit, oder kennt jemand ein Tool mit dem man bei jedem lokalen Anmelden
Batchdatei?

oder beim anmelden per Terminal Session
Da auch diese eine Anmeldung darstellt, s.o. Batchdatei.

Gruß,
Peter
Mitglied: benpunkt
benpunkt 26.07.2013 aktualisiert um 08:35:08 Uhr
Goto Top
Naja, es gibt Fälle, in denen man Lehrlinge oder neue Mitarbeiter hat, denen man zwar administrative Aufgaben übergeben muss, aber eben nicht die Volle Berechtigungen.

Du kannst mit einem ausgefeilten Berechtigungskontept sehr granular einstellen, wer was darf.

Du erstellst eine Gruppe: First-Level-Support
Diese Gruppe wird der lokalen Gruppe Remotedesktopbenutzer.

Anschließend über GPO, Sicherheitseinstellungen etc bestimmen, was diese Gruppe darf und was nicht.

Ich habe damit ein 3 stufiges Berechtigungskonzept für eine größere Server-Landschaft umgesetzt.

Im Active Directory Umfeld kannst Du die Überwachungsrichtlinien per GPO auf DCs ausrollen, damit werden Änderungen auf DCs im EventLog geschrieben.

Mit Scriptlogic (Active Administrator) kannst Du das Ganze zentralisiert überwachen und filtern, um AD-Aktivitäten der Be###r zu monitoren und bei bestimmten Aktionen wirst Du benachrichtigt.

Aber wie gesagt: ein ausgefeiltes, durchdachtes Berechtigungskonzept schützt Dich vor versehentlichen Fehlern. Ein Überwachungstool kann eben helfen, diese Fehler zurückzuverfolgen.
Folglich kommst Du nicht umhin, ein Berechtigungskonzept sowie IT-Richtlinien auszurollen.

Mit mit IT-Richtlinien meine ich Rahmendokumente der IT-Administration, welche Konzepte, Standard und Besonderheiten bei den jeweiligen Systemen einzuhalten sind. Das ist viel Schreibarbeit, aber wenn Du nach bestimmten Qualitätskriterien arbeiten möchtest, kommst da nicht drum rum.

Grüße