Verwendung eines AD-Benutzeraccounts ueberwachen?

02/07/2008 - 10:32 von Roger Hungerbuehler | Report spam
Hi

Ich steh mal wieder auf dem Schlauch, wie (wenn überhaupt) kann ich ein
AD-Benutzerkonto so ueberwachen, dass ich sehe, wer oder was versucht hat,
sich mit diesem Account anzumelden?

Ich hab konkret das Problem, dass wir wegen eines Sicherheitsverstosses
einem speziellen Account das Passwort aendern mussten, es handelt sich
hierbei um ein so genanntes Services-Account, welches dazu dient spezielle
Dienste wie z.B. BackupExec, SQL-Server usw. zu starten. Wir haben alle
Dienste, sowie alle bekannten Tasks und Porgramme angepasst und mit dem
neuen Passwort versehen, es funktioniert soweit auch alles wie es soll. Nur
ist es so, dass auf einem unserer Server (einem DC) irgendwer oder irgendwas
dauernd versucht diesen Account mit dem alten Passwort zur Anmeldung zu
verwenden, was dann dazu fuehrt, dass der Account immerwieder gelockt wird,
was z.B. fuer das BackupExec nicht gerade sehr vorteilhaft ist.

Was mich erstaunt, ist dass das Konto ueberhaupt gelockt wird, zumal es ein
Adminkontoi ist, auf welchem die Lockout-Policy nicht greift...

Danke und Gruss
Roger Hungerbuehler
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
02/07/2008 - 10:51 | Warnen spam
Howdie!

Roger Hungerbuehler schrieb:
Ich steh mal wieder auf dem Schlauch, wie (wenn überhaupt) kann ich ein
AD-Benutzerkonto so ueberwachen, dass ich sehe, wer oder was versucht hat,
sich mit diesem Account anzumelden?



"Audit account logon events" in CompConf\Windows Settings\Sec
Settings\Local Policies\Audit Policy. Die musst du wohl auf allen DCs
aktivieren (vielleicht an die "Domain Controllers"-OU linken?). Damit
siehst du aber nur, wann und von welcher Maschine aus der Versuch
gestartet wurde - und du musst alle Eventlogs der DCs abklappern, um
Ereignisse zu finden, da nur der verarbeitende DC das in sein
Sicherheit-Eventlog schreibt.


Was mich erstaunt, ist dass das Konto ueberhaupt gelockt wird, zumal es ein
Adminkontoi ist, auf welchem die Lockout-Policy nicht greift...



_Ein_ Adminkonto oder _das_ Administrator-Konto?

cheers,

Florian
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Use a newsreader! http://www.frickelsoft.net/news.html

Ähnliche fragen