10
Active Directory - Überwachungsrichlinie
Guten Tag
also es geht um ein kleines Problem ,,,bezueglich Active Directory ( Windows Server 2003 SR2 )
wie kann ich einen Focus ( Überwachung ) auf einen User richten um zu Protokollieren was dieser alles treibt !
es ist ein Administrativer Account in der Domäne der bestimmte Dienste anschiebt , dieser wird aufgrund einer mir nicht bekannten Aktion immer wieder deaktiviert ( Konto inaktiviert ) , somit wird auch ein Backup immer wieder abgebrochen , dieses mal als Randinformation !
wie es für Computer geht weiss ich ,,,über die Administrativen Vorlagen ,,,aber für nen User ?????????????
Ich möchte per Richtlinie überprüfen was dieser Account macht um nachzuvollziehen wo der Fehler liegt ! ( warum also der Account deaktiviert wird )
vorweg ,,,der Fehler ist aufgelaufen als der Account nen neues Kennwort bekommen hat !
das mal als Intro ...der Rest kann dann im Verlauf erörtert werden ,,,sofern möglich !!!
Thx erstmal !!!
also es geht um ein kleines Problem ,,,bezueglich Active Directory ( Windows Server 2003 SR2 )
wie kann ich einen Focus ( Überwachung ) auf einen User richten um zu Protokollieren was dieser alles treibt !
es ist ein Administrativer Account in der Domäne der bestimmte Dienste anschiebt , dieser wird aufgrund einer mir nicht bekannten Aktion immer wieder deaktiviert ( Konto inaktiviert ) , somit wird auch ein Backup immer wieder abgebrochen , dieses mal als Randinformation !
wie es für Computer geht weiss ich ,,,über die Administrativen Vorlagen ,,,aber für nen User ?????????????
Ich möchte per Richtlinie überprüfen was dieser Account macht um nachzuvollziehen wo der Fehler liegt ! ( warum also der Account deaktiviert wird )
vorweg ,,,der Fehler ist aufgelaufen als der Account nen neues Kennwort bekommen hat !
das mal als Intro ...der Rest kann dann im Verlauf erörtert werden ,,,sofern möglich !!!
Thx erstmal !!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134078
Url: https://administrator.de/contentid/134078
Printed on: April 19, 2024 at 06:04 o'clock
10 Comments
Latest comment
Hallo,
solche Probleme treten auf, wenn ein Prozess (Dienst, Geplanter Task, Benutzer etc) unter einem Benutzer ausgeführt wird, von diesem das Kennwort geändert und abschließend vergessen wird, in all diesen Automatisierten Tasks oder Diensten das Kennwort zu aktualisieren.
Das Backup startet, meldet sich mit den alten Anmeldedaten am System an, dieses verweigert den Zugriff und nach X versuchen wird der Account gesperrt.
Du kannst eigentlich nur herausfinden was dies verursacht, wenn du beginnend von den Domänencontrollern im Sicherheitsprotokoll nach gescheiterten Anmeldungen suchst.
Normalerweise sollte ein Blick in deine Dokumentation genau verraten wo dieser Account überall hinterlegt wurde.
solche Probleme treten auf, wenn ein Prozess (Dienst, Geplanter Task, Benutzer etc) unter einem Benutzer ausgeführt wird, von diesem das Kennwort geändert und abschließend vergessen wird, in all diesen Automatisierten Tasks oder Diensten das Kennwort zu aktualisieren.
Das Backup startet, meldet sich mit den alten Anmeldedaten am System an, dieses verweigert den Zugriff und nach X versuchen wird der Account gesperrt.
Du kannst eigentlich nur herausfinden was dies verursacht, wenn du beginnend von den Domänencontrollern im Sicherheitsprotokoll nach gescheiterten Anmeldungen suchst.
Normalerweise sollte ein Blick in deine Dokumentation genau verraten wo dieser Account überall hinterlegt wurde.
Hallo.
Schau einmal hier nach - http://www.mcseboard.de/active-directory-forum-79/domaenen-admin-automa ...
LG Günther
Schau einmal hier nach - http://www.mcseboard.de/active-directory-forum-79/domaenen-admin-automa ...
LG Günther
Danke bis hierhin ,,,,aber bei über 80 Servern gestaltet es sich etwas schwierig auf jedem DC ( 12 ) sich die Ereignisprotokolle anzuschauen , deswegen wollte ich den Focus auf den Account legen !
Gruss Jürgen
Gruss Jürgen
Hallo.
Wenn du das derart durchführst, dann bist du selbst schuld
Als Admin derartiger Systeme sollte man zumindest mit einem Tool wie dem LogParser auf Du und Du sein - http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...
LG Günther
aber bei über 80 Servern gestaltet es sich etwas schwierig auf jedem DC ( 12 ) sich die Ereignisprotokolle anzuschauen
Wenn du das derart durchführst, dann bist du selbst schuld
Als Admin derartiger Systeme sollte man zumindest mit einem Tool wie dem LogParser auf Du und Du sein - http://www.serverhowto.de/Auswertung-von-Eventlogs-mit-dem-MS-Logparser ...LG Günther
Hehehe ...bisher hatten wir auch nicht die Probleme , bin mir also keiner Nachlässigkeit bewusst !
renn ja auch nicht den ganzen Tag mit nem Schneidbrenner rum , weil ich eventuell von nem Leopard 2 Panzer eingeparkt werden könnte !!! :D
dann wollen mer mal schauen was der LogParser kann !!
Thx ,,,,,
renn ja auch nicht den ganzen Tag mit nem Schneidbrenner rum , weil ich eventuell von nem Leopard 2 Panzer eingeparkt werden könnte !!! :D
dann wollen mer mal schauen was der LogParser kann !!
Thx ,,,,,
Hallo.
Ich auch nicht. Aber auf meiner Parkplatz steht jemand, der mich anruft, wenn sich ein Leopard vor mein Auto stellt
LG Günther
renn ja auch nicht den ganzen Tag mit nem Schneidbrenner rum , weil ich eventuell von nem Leopard 2 Panzer eingeparkt werden könnte !!! :D
Ich auch nicht. Aber auf meiner Parkplatz steht jemand, der mich anruft, wenn sich ein Leopard vor mein Auto stellt
LG Günther
Wenn du über eine Dokumentation verfügen würdest, wo der Account überall hinterlegt wurde, hättest du dieses Problem nicht. Warum änderst du das PW eigentlich? Normalerweise sind solche Konten dezidiert, mt sehr langen kennwörtern versehen und die interaktive Anmeldung versolche Konten verboten. Wenn du das AD-Objekt zusätzlich vor Usern schützt ist es fast unmöglich etwas mit einem solchen Account anzustellen.
Meine PWD´s für solche Konten sind
Von zig Leuten verwendete pipe zur Erstellung von Kennwörtern. Das ganze in einem Script verwendet und gleich in die Dokumentation geschrieben.
Wie prüft ihr denn Sicherheitsverletzungen im Netzwerk wenn du keinerlei Werkzeug hast, um deine 80 Server zu kontrollieren? Therretisch könnte genau jetzt jemand mit einem Script alle Accounts sperren ohne das du es merkst. Per LDAP alle User-Objekte aus dem AD ziehen und gleich 10 Anmeldungen mit falschen Kennwörtern hinterherschicken. Das ganze alle 60 Minuten, DoS.
Meine PWD´s für solche Konten sind
$> cat /dev/urandom|tr -dc "a-zA-Z0-9-_\$\?"|fold -w 32|head -n 1
2L1p41wTJ8INoRhv68D8-4KAaRCOzDtT?yy$ycsYsMK28V4Rc9Wie prüft ihr denn Sicherheitsverletzungen im Netzwerk wenn du keinerlei Werkzeug hast, um deine 80 Server zu kontrollieren? Therretisch könnte genau jetzt jemand mit einem Script alle Accounts sperren ohne das du es merkst. Per LDAP alle User-Objekte aus dem AD ziehen und gleich 10 Anmeldungen mit falschen Kennwörtern hinterherschicken. Das ganze alle 60 Minuten, DoS.
wie gesagt ...bisher keine Problem gehabt und kamen mit den Standardfeatures klar !
hier befinden wir uns in der Situation das die Domäne geswitcht wird und sowohl in der alten wie auch in der neuen Dom der User ( es ist ein definiertes Konto ) als Administrativer Account eingerichtet ist !
vonwegen ...never change a running System !
mit der Doku ,,,naja ,,es ist ausdokumentiert ,,,nur gibt es bei 10 verantwortlichen immer einen oder 2 oder 3 ...die hier und da mal nen Schraubenzieher liegen lassen ,,,und den suchen wir jetzt !
Kennwort wurde geändert ,,,weil es in der neuen DOM nicht das selbe sein sollte !!! :D
Und Bange machen gilt nicht , wir bekommen schon mit wenn was nicht richtig läuft ,,,und bisher war ja auch immer alles vollkommen ok ,,nur das ist jetzt ein ausserordentliches Problem wegen der Switchsituation !
Gruss Jürgen
hier befinden wir uns in der Situation das die Domäne geswitcht wird und sowohl in der alten wie auch in der neuen Dom der User ( es ist ein definiertes Konto ) als Administrativer Account eingerichtet ist !
vonwegen ...never change a running System !
mit der Doku ,,,naja ,,es ist ausdokumentiert ,,,nur gibt es bei 10 verantwortlichen immer einen oder 2 oder 3 ...die hier und da mal nen Schraubenzieher liegen lassen ,,,und den suchen wir jetzt !
Kennwort wurde geändert ,,,weil es in der neuen DOM nicht das selbe sein sollte !!! :D
Und Bange machen gilt nicht , wir bekommen schon mit wenn was nicht richtig läuft ,,,und bisher war ja auch immer alles vollkommen ok ,,nur das ist jetzt ein ausserordentliches Problem wegen der Switchsituation !
Gruss Jürgen
Naja, warum auch immer. Um deine Suche etwas einzugrenzen, kannst du die genaue Uhrzeit der Accountsperre aus dem AD-Objekt lesen. Eventuell helfen dir noch andere Attribute bei der weiteren Eingrenzung. Diese findest du in der Microsoft-MSDN
Normalerweise versucht Windows bei fehlgeschlagenen Anmeldevorgängen, bevor der Anmeldevorgang endgültig abgewiesen wird, eine Prüfung am PDC-Emulator der Domäne. Im Sicherheitsprotokoll dieses Servers solltest du auf jeden Fall einen entsprechenden Eintrag finden.
Normalerweise versucht Windows bei fehlgeschlagenen Anmeldevorgängen, bevor der Anmeldevorgang endgültig abgewiesen wird, eine Prüfung am PDC-Emulator der Domäne. Im Sicherheitsprotokoll dieses Servers solltest du auf jeden Fall einen entsprechenden Eintrag finden.
so ,,,,das Problem wurde erkannt und beseitigt !!!
und zwar sind in der Dom. an den jeweiligen Standorten Server die für das Verwalten des Dokumentenmanagmentsystem verantworlich sind die Ursache für den Fehler , auf den jeweiligen Servern waren Tasks eingerichtet die ein Backup gezogen haben (diese Tasks waren mit dem besagten User eingerichtet ).!
Thx .....
btw... der LogParser scheint ne ordentliche Lösung zu sein und ich werde mich da weiter reinarbeiten , da es auch ne GUI(Lizzard) dafür gibt ,,kann man es auch etwas komfortabel gestalten !
mit den Querys muss man sich dann schon etwas genauer befassen , aber es scheint sich zu lohnen ,,,,we will see .....thx bis hierhin !!
Gruss Jürgen
und zwar sind in der Dom. an den jeweiligen Standorten Server die für das Verwalten des Dokumentenmanagmentsystem verantworlich sind die Ursache für den Fehler , auf den jeweiligen Servern waren Tasks eingerichtet die ein Backup gezogen haben (diese Tasks waren mit dem besagten User eingerichtet ).!
Thx .....
btw... der LogParser scheint ne ordentliche Lösung zu sein und ich werde mich da weiter reinarbeiten , da es auch ne GUI(Lizzard) dafür gibt ,,kann man es auch etwas komfortabel gestalten !
mit den Querys muss man sich dann schon etwas genauer befassen , aber es scheint sich zu lohnen ,,,,we will see .....thx bis hierhin !!
Gruss Jürgen
