Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tätigkeiten vom Administrator im Active Directory protokollieren

Frage Microsoft

Mitglied: xqTpx

xqTpx (Level 1) - Jetzt verbinden

09.08.2005, aktualisiert 17.10.2012, 11443 Aufrufe, 9 Kommentare

Hi Ich suche eine Möglichkeit Administratoren unter Windows 2003 zu protokollieren.Dazu gehören Sachen wie Änderungen im Active Directory, Benutzerverwaltung usw.Der Administrator selber darf keine Möglichkeit haben diese Protokolle zu manipulieren.Kennt jemand vielleicht eine Möglichkeit ?MFGRichard
Mitglied: BartSimpson
09.08.2005 um 11:28 Uhr
Und wie soll das gehen? Da du ja als admin das recht hast, dir alle Rechte zu geben.
Bitte warten ..
Mitglied: xqTpx
09.08.2005 um 12:37 Uhr
Tja das ist die Frage -> die Protokolle müsten auf einen unabhängigen Protokollserver geschrieben werden auf den der Administrator so in der Form keinen Zugriff hat. Erstmal wäre es interessant überhaubt vernüftig Loggen zu können.

Theoretisch gibt es einige Richtlinien dafür ( Objektzugriffsversuche überwachen ) welche aber bisher nur protokollieren ob auf ein GPO zugegriffen worden ist.

Irgendwelche Ideen ?
Bitte warten ..
Mitglied: 10545
10.08.2005, aktualisiert 17.10.2012
Moin,

das klingt für mich ein wenig nach "den Admin überführen" ...?

Ich rate da von "technischen Spielchen" ab. Erstmal sieht der Admin "eigentlich" alles. Zweitens kommt dann der rechtliche Punkt "Technische Überwachung von Mitarbeitern" in´s Spiel ? das kann arg nach hinten losgehen ...(heikles Thema!).

Ich empfehle ein offenes Gespräch, falls Unstimmigkeiten oder Verdachtsmomente vorhanden sind. Klare (schriftliche) Anweisungen können auch sehr hilfreich sein.

Diese ganze "durch den Rücken über die linke Schulter in´s Auge"-Vorgehensweise endet fast immer im Rechtsstreit ? erspart Euch das durch klare Gespräche.

Gruß, Rene

PS: Wann immer ein Unternehmen über einen "Admin für den Admin" nachdenken muss, ist die Vertrauensbasis ? und damit die Grundlage der Zusammenarbeit ? fast schon hinfällig.

Außerdem fällt mir dazu wieder der sehr gute Artikel
http://www.administrator.de/wissen/das-deprimierende-m%c3%a4rchen-von-d ...
ein
Bitte warten ..
Mitglied: xqTpx
11.08.2005 um 10:55 Uhr
hmmm nein darum geht es nicht
Ich sehe das genauso wie du, ein offnes Gespräch ist viel mehr wehrt als merkwürdige Überwachungsmethoden.

Es geht aber darum, dass ein Administrator auf einem Domain Controller sehr viel Macht besitzt. Dies muss er ja auch haben da er die Systeme verwalten muss. Trotzdem ist es manchmal Sinnvoll zu protokollieren was genau denn getan wird, falls etwas schief geht.
Man unterstelle niemanden etwas böses, trotzdem sollte selbst für einen Admin nicht möglich sein bestimmte Dinge ungesehen zu tun. Dazu gehören Sitzungen bei Terminalserver anzusehen ( Benutzererlaubniss muss nicht eingeholt werden, läst sich mit einem Klick einstellen ), "befreundete" Benutzer mehr Rechte geben damit diese vielleicht Dokumente einsehen können die sie normalerweise nicht sehen können. Unterlagen und Emails vom Betriebsrat, Personalabteilung, Chefetage etc.

Es geht dabei nicht um Überwachung, sondern um Protokollierung von hoch sensiblen Tätigkeiten.
Bitte warten ..
Mitglied: BartSimpson
11.08.2005 um 11:17 Uhr
Das Problem kann ich zwar nachvollziehen, aber mit einer Lösung wird es schwer. Und etwas vertrauen sollte man zu seinen Mitarebitern schon haben. Wichtige Mails oder Dukumente könnte ja zb. per Verschlüsselung gesichert werden. Wo natürlich der Admin keinen "Nachschlüssel" haben darf.
Bitte warten ..
Mitglied: 10545
11.08.2005 um 12:52 Uhr
Moin,

@ xqTpx (Richard):

Und genau das trifft den Kern: Vertrauen!

Wenn man dem Admin nicht "blind" diese sensiblen Daten in die "Verfügungsgewalt" geben 'kann', ist die Vertrauensbasis gestört.

Übrigens ist das ein Grund, warum viele Unternehmen keine Mitarbeiter als Admin´s einsetzen ? die vertraulichen information von Betriebsäten und GF-Ebene ...

Gruß, Rene
Bitte warten ..
Mitglied: xqTpx
11.08.2005 um 13:24 Uhr
Im Prinzip hast du Recht Rene.

Trotzdem sollte und muß es möglich sein zu protokollieren.
Dies ist unter anderem durch das Gesetz für öffentliche Stellen vorgeschrieben.
( Schleswig Holstein, LDSG §6 Abs. 4, DSVO §8 Abs. 4 )

Ich finde das gut, denn wenn von Behörden alle Daten elektronisch verarbeitet werden, und dein Fingerabdruck, Biometrische Merkmale und Digitales Gesichtsbild auf einem File Server irgendwo in einer Behörde rum liegen, möchtest du nicht umbedingt einem wildfremden Administrator vertrauen.

Gruß Richard
Bitte warten ..
Mitglied: 10545
11.08.2005 um 20:01 Uhr
Hallo Richard,

da stimme ich Dir uneingeschränkt zu.

Allerdings "rückst" Du gerade auch das Erste Mal mit der Info raus, dass es um eine Öffentliche Stelle geht .

Gruß, Rene

PS: Du beziehst Dich auf SH? Ich sitze hier in Bad Bramstedt
Bitte warten ..
Mitglied: xqTpx
12.08.2005 um 14:20 Uhr
Tue ich , Gruß aus Kiel !
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domänen Administrator Kennwort im Active Directory ändern. Wie?
gelöst Frage von Xinu32Windows Userverwaltung5 Kommentare

Hallo zusammen, ich würde gerne das Domänen Administrator Kennwort auf unserem Windows 2003 Domänencontroller ändern. Wo mache ich das ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Mit Tastenkürzel im Active Directory navigieren?
gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Windows Server
Active Directory - Umlaute ersetzen
gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 6 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 7 StundenSicherheit7 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 8 StundenSicherheit6 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 8 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen19 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...