Benutzerüberwachung der Anmeldung des Domain-Admins
Hallo,
ist es möglich, einen PC so zu überwachen, dass wenn von einem Bestimmten Benutzer aus (normaler Domainuser) eine RDP aufgebaut wird und dort die Domain-Admin Creds drin sind, dass man dann einen Log-Eintrag macht, von welchem Benutzer das dann kommt?
Bzw. auch den Cred-Speicher überwachen auf den Benutzer?
Hintergrund:
Ein Benutzer hat sich heute via RDP auf einem Server angemeldet, auf dem er das Kennwort eigentlich nicht haben sollte. Das Kennwort haben nur 3 Personen.
Systeme: Windows 10 und Server 2016 / 2012R2
Gruß
ist es möglich, einen PC so zu überwachen, dass wenn von einem Bestimmten Benutzer aus (normaler Domainuser) eine RDP aufgebaut wird und dort die Domain-Admin Creds drin sind, dass man dann einen Log-Eintrag macht, von welchem Benutzer das dann kommt?
Bzw. auch den Cred-Speicher überwachen auf den Benutzer?
Hintergrund:
Ein Benutzer hat sich heute via RDP auf einem Server angemeldet, auf dem er das Kennwort eigentlich nicht haben sollte. Das Kennwort haben nur 3 Personen.
Systeme: Windows 10 und Server 2016 / 2012R2
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399682
Url: https://administrator.de/forum/benutzerueberwachung-der-anmeldung-des-domain-admins-399682.html
Ausgedruckt am: 26.04.2025 um 12:04 Uhr
7 Kommentare
Neuester Kommentar
Hi,
so einfach nicht.
Du kannst am betreffenden Server aufzeichnen, wer sich dort wann anmeldet. Da steht dann der Clientname drin, aber nicht der Benutzer, werlcher gerade am Client angemeldet ist.
Du kannst aber zeitgleich an allen Computern der Domäne das Gleiche aufzeichnen. Dann kannst Du am betreffenden Computer nachsehen, wer dort zu diesem Zeitpunkt angemeldet war.
Oder Du legst am Server einen Trigger auf die Anmeldevents, welche ein PS-Script ausführen. Dieses wertet die Events aus und wenn "Admin" dann versucht es sofort abzufragen, wer am betreffenden Client angemeldet ist.
Suche mal im Web nach "windows audit logon events". Da werden Sie geholfen ...
E.
so einfach nicht.
Du kannst am betreffenden Server aufzeichnen, wer sich dort wann anmeldet. Da steht dann der Clientname drin, aber nicht der Benutzer, werlcher gerade am Client angemeldet ist.
Du kannst aber zeitgleich an allen Computern der Domäne das Gleiche aufzeichnen. Dann kannst Du am betreffenden Computer nachsehen, wer dort zu diesem Zeitpunkt angemeldet war.
Oder Du legst am Server einen Trigger auf die Anmeldevents, welche ein PS-Script ausführen. Dieses wertet die Events aus und wenn "Admin" dann versucht es sofort abzufragen, wer am betreffenden Client angemeldet ist.
Suche mal im Web nach "windows audit logon events". Da werden Sie geholfen ...
E.
Hi @emeriks
stimmt. Es handelt sich primär um einen Server, wo der Benutzer meint, er müsse sich mit Admin anmelden, Dann könnte ich ja den überwachen und er protokolliert ja von welchem PC aus das kommt, richtig?
Da nur ein Benutzer an dem PC ist, lässt sich das ja dann 1:1 zuordnen.
Hast du so etwas schon mal umgesetzt? Werde mir die Websuche auch mal anschauen.
#edit
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
#edit-ende
Gruß
stimmt. Es handelt sich primär um einen Server, wo der Benutzer meint, er müsse sich mit Admin anmelden, Dann könnte ich ja den überwachen und er protokolliert ja von welchem PC aus das kommt, richtig?
Da nur ein Benutzer an dem PC ist, lässt sich das ja dann 1:1 zuordnen.
Hast du so etwas schon mal umgesetzt? Werde mir die Websuche auch mal anschauen.
#edit
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
#edit-ende
Gruß
Zitat von @killtec:
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
Die beiden Server?Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
Ein Server und ein Client.
Suche nur noch wo ich das Log nachher finde :/
Gruß
Suche nur noch wo ich das Log nachher finde :/
Gruß
Eventlog "Sicherheit" oder "Security"
EventID 4624
EventID 4624
Hi.
Ich würde mir ganz andere Fragen stellen:
-Warum kann sich der Admin überhaupt am Nutzerrechner anmelden? Er hat dort doch gar nichts verloren. Entzieht man ihm die Anmeldeberechtigung auf Clients, ist der "Angriff" nicht möglich
-wie konnte ein Nutzer in den Besitz des Kennwortes kommen? Wird dieser Serveradmin auch auf den Endpunkten benutzt? Warum? Das ist auf jeden Fall der falsche Weg.
Ich würde mir ganz andere Fragen stellen:
-Warum kann sich der Admin überhaupt am Nutzerrechner anmelden? Er hat dort doch gar nichts verloren. Entzieht man ihm die Anmeldeberechtigung auf Clients, ist der "Angriff" nicht möglich
-wie konnte ein Nutzer in den Besitz des Kennwortes kommen? Wird dieser Serveradmin auch auf den Endpunkten benutzt? Warum? Das ist auf jeden Fall der falsche Weg.
Hi @dww: Der Admin meldet sich über einen Client per RDP an einem Server an.
Das zweite bin ich dabei heraus zu finden... Der Admin wurde früher teilweise auch an Clients verwendet. Ich bin gerade dabei das alles umzustricken...
Ich habe jetzt an dem Betroffenem Server noch folgendes Script beim Anmelden laufen:
Gruß
Das zweite bin ich dabei heraus zu finden... Der Admin wurde früher teilweise auch an Clients verwendet. Ich bin gerade dabei das alles umzustricken...
Ich habe jetzt an dem Betroffenem Server noch folgendes Script beim Anmelden laufen:
echo Benutzer: %username% Anmeldezeit: %date% um %time% Uhr Server: %computername% Client: %clientname% > c:\temp\logon.txtGruß
