6
Aktivitäten von AD Benutzern auslesen
Hallo Community.
Ich bin auf der Suche nach einem Bordmittel um ActiveDirectory zu überwachen. Konkret geht es darum zu schauen, welcher Benutzer (auch deaktivierte) sich wann (und weitere Details) im AD angemeldet hat / ausgeloggt hat... (WinServer2019).
Hat da jemand einen Ansatz? Danke schonmal...
Ich bin auf der Suche nach einem Bordmittel um ActiveDirectory zu überwachen. Konkret geht es darum zu schauen, welcher Benutzer (auch deaktivierte) sich wann (und weitere Details) im AD angemeldet hat / ausgeloggt hat... (WinServer2019).
Hat da jemand einen Ansatz? Danke schonmal...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4241307697
Url: https://administrator.de/forum/aktivitaeten-von-ad-benutzern-auslesen-4241307697.html
Ausgedruckt am: 21.04.2025 um 16:04 Uhr
6 Kommentare
Neuester Kommentar
Definiere überwachen.
Es soll Leute geben, die Logfiles betrachten und dabei Anfragen und Filter nutzen. Habe ich gehört.
Es soll Leute geben, die Logfiles betrachten und dabei Anfragen und Filter nutzen. Habe ich gehört.
Moin,
Grade die Details sind das interessante. Was genau willst du wissen? vielleicht hilft dir ja der PowerShell-Befehl get-aduser schon weiter.
Davon abgesehen: Mach dich mal bitte schlau, was genau das AD ist und dann überlege einmal wie sich ein User im AD ein- und ausloggen soll. Ich weiß du meinst, aber es ist wichtig die Fragen präzise zu stellen.
Gruß
Doskias
Zitat von @SearchAndFind:
Ich bin auf der Suche nach einem Bordmittel um ActiveDirectory zu überwachen. Konkret geht es darum zu schauen, welcher Benutzer (auch deaktivierte) sich wann (und weitere Details) im AD angemeldet hat / ausgeloggt hat... (WinServer2019).
Ich bin auf der Suche nach einem Bordmittel um ActiveDirectory zu überwachen. Konkret geht es darum zu schauen, welcher Benutzer (auch deaktivierte) sich wann (und weitere Details) im AD angemeldet hat / ausgeloggt hat... (WinServer2019).
Grade die Details sind das interessante. Was genau willst du wissen? vielleicht hilft dir ja der PowerShell-Befehl get-aduser schon weiter.
Davon abgesehen: Mach dich mal bitte schlau, was genau das AD ist und dann überlege einmal wie sich ein User im AD ein- und ausloggen soll. Ich weiß du meinst, aber es ist wichtig die Fragen präzise zu stellen.
Gruß
Doskias
Richtig. Benutzer können sich im AD nicht anmelden. Benutzer können sich nur an einem Client anmelden, der Client schaut dann im AD nach, ob der Benutzer das darf. Also musst du die Protokolle des Clients nach An- und Abmeldungen filtern. Du kannst auch auf einem Fileserver nachschauen, wenn es um Dateizugriffe geht, weil am Client muss er sich nicht unbedingt abmelden und kann ihn über Nacht durchlaufen lassen.
Hi zusammen. Ja, ich hatte mich nicht klar ausgedrückt. Aber danke für die Tipps schonmal.
Es geht um folgendes: ein Benutzer wird im AD deaktiviert. Versucht er sich nochmal anzumelden? Wenn ja, wo steht das?
Ich denke aber, dass mir Eure Tipps, die ihr mir gegeben habt, schon mal weitergeholfen haben. Ich würde da mal ansetzen (was ihr schreibt)
Diese Anfrage kann also erstmal geschlossen werden.
Es geht um folgendes: ein Benutzer wird im AD deaktiviert. Versucht er sich nochmal anzumelden? Wenn ja, wo steht das?
Ich denke aber, dass mir Eure Tipps, die ihr mir gegeben habt, schon mal weitergeholfen haben. Ich würde da mal ansetzen (was ihr schreibt)
Diese Anfrage kann also erstmal geschlossen werden.
Moin
Das wiederum kannst du auf den DCs in den Protokollen wiederfinden. Event-ID 4624 ist eine erfolgreiche Autherifizierung gegenüber dem AD, 4625 eine fehlgeschlagene Authentifizierung. Bei der 4625 steht ein Grund dabei, wieso die Anmeldung nicht durchgeführt wurde. Ich bin mir grade nicht 100% sicher ob du hier einen geperrten User oder nur ungültige Kennwörter ermitteln kannst. Aber das kannst du ja mit einem Testbenutzer recht schnell in Erfahrung bringen.
Gruß
Doskias
Zitat von @SearchAndFind:
Es geht um folgendes: ein Benutzer wird im AD deaktiviert. Versucht er sich nochmal anzumelden? Wenn ja, wo steht das?
Es geht um folgendes: ein Benutzer wird im AD deaktiviert. Versucht er sich nochmal anzumelden? Wenn ja, wo steht das?
Das wiederum kannst du auf den DCs in den Protokollen wiederfinden. Event-ID 4624 ist eine erfolgreiche Autherifizierung gegenüber dem AD, 4625 eine fehlgeschlagene Authentifizierung. Bei der 4625 steht ein Grund dabei, wieso die Anmeldung nicht durchgeführt wurde. Ich bin mir grade nicht 100% sicher ob du hier einen geperrten User oder nur ungültige Kennwörter ermitteln kannst. Aber das kannst du ja mit einem Testbenutzer recht schnell in Erfahrung bringen.
Gruß
Doskias
