Man könnte aus “statistischen” Gründen auf die Idee kommen, die Anmeldung der Anwender zu protokollieren.


 


Gleich vorweg: Dieses ist Mitbestimmungspflichtig und muss vom Betriebsrat genehmigt werden! 


 


Wenn man die Protokollierung über eine GPO regeln möchte, gilt es z.B. in der “Default Domain Controller Policy” die Überwachung von Anmeldungen zu aktivieren. Der Nachteil ist zum einen, dass einzelne Benutzer davon nicht ausgenommen werden können und zum anderen,
dass zum Auswerten alle Sicherheitsprotokolle der DCs durchsucht werden muss. Dieses kann man sich natürlich erleichtern.


 


Im folgenden Pfad kann man die Protokollierung von Anmeldungen aktivieren:  
Computerkonfiguration – Windows Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien –  Überwachungsrichtlinien – <Anmeldeereignisse überwachen>

Dann kontrolliert man die Domänencontroller nach diesen Einträgen:
 
Ereignisquelle: Security
Kategorie: Kontoanmeldung
Ereigniskennung: 675 (diese Event-ID wird bei einer fehlgeschlagenen Anmeldung protokolliert, siehe Audit Account Logon Events)
In der Beschreibung der Eventeinträge findet sich dann die Client-IP.

Mit den Tools EventComb und BLAT, lassen sich die Einträge zumailen:
Verwalten von Ereignisprotokollen mit EventComb MT
Happy mailing Blat online

Das ganze lässt sich natürlich auch per Logonskript und Logoffskript regeln.  Hierbei kann man sogar die Abmeldung mitloggen:
Logon.cmd: echo logon %username% %computername% %date% %time% >> \\Server\Freigabe\Logon.txt
Logoff.cmd: echo logoff %username% %computername% %date% %time% >> \\Server\Freigabe\Logoff.txt


Anschließend gilt es die erstellten Batch-Dateien in die entsprechende Richtlinie zu verknüpfen:
Benutzerkonfiguration – Windows-Einstellungen – Skripts (Anmelden/Abmelden)





Weitere Informationen zu diesem Thema:
How to track users logon/logoff
Troubleshooting Kerberos Errors
Log Parser 2.2


Account Lockout and Management Tools


HOW TO: Audit Active Directory Objects in Windows 2000


 

Comments are closed, but trackbacks and pingbacks are open.