Benutzerüberwachung der Anmeldung des Domain-Admins
Hallo,
ist es möglich, einen PC so zu überwachen, dass wenn von einem Bestimmten Benutzer aus (normaler Domainuser) eine RDP aufgebaut wird und dort die Domain-Admin Creds drin sind, dass man dann einen Log-Eintrag macht, von welchem Benutzer das dann kommt?
Bzw. auch den Cred-Speicher überwachen auf den Benutzer?
Hintergrund:
Ein Benutzer hat sich heute via RDP auf einem Server angemeldet, auf dem er das Kennwort eigentlich nicht haben sollte. Das Kennwort haben nur 3 Personen.
Systeme: Windows 10 und Server 2016 / 2012R2
Gruß
ist es möglich, einen PC so zu überwachen, dass wenn von einem Bestimmten Benutzer aus (normaler Domainuser) eine RDP aufgebaut wird und dort die Domain-Admin Creds drin sind, dass man dann einen Log-Eintrag macht, von welchem Benutzer das dann kommt?
Bzw. auch den Cred-Speicher überwachen auf den Benutzer?
Hintergrund:
Ein Benutzer hat sich heute via RDP auf einem Server angemeldet, auf dem er das Kennwort eigentlich nicht haben sollte. Das Kennwort haben nur 3 Personen.
Systeme: Windows 10 und Server 2016 / 2012R2
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399682
Url: https://administrator.de/forum/benutzerueberwachung-der-anmeldung-des-domain-admins-399682.html
Ausgedruckt am: 05.04.2025 um 10:04 Uhr
7 Kommentare
Neuester Kommentar
Hi,
so einfach nicht.
Du kannst am betreffenden Server aufzeichnen, wer sich dort wann anmeldet. Da steht dann der Clientname drin, aber nicht der Benutzer, werlcher gerade am Client angemeldet ist.
Du kannst aber zeitgleich an allen Computern der Domäne das Gleiche aufzeichnen. Dann kannst Du am betreffenden Computer nachsehen, wer dort zu diesem Zeitpunkt angemeldet war.
Oder Du legst am Server einen Trigger auf die Anmeldevents, welche ein PS-Script ausführen. Dieses wertet die Events aus und wenn "Admin" dann versucht es sofort abzufragen, wer am betreffenden Client angemeldet ist.
Suche mal im Web nach "windows audit logon events". Da werden Sie geholfen ...
E.
so einfach nicht.
Du kannst am betreffenden Server aufzeichnen, wer sich dort wann anmeldet. Da steht dann der Clientname drin, aber nicht der Benutzer, werlcher gerade am Client angemeldet ist.
Du kannst aber zeitgleich an allen Computern der Domäne das Gleiche aufzeichnen. Dann kannst Du am betreffenden Computer nachsehen, wer dort zu diesem Zeitpunkt angemeldet war.
Oder Du legst am Server einen Trigger auf die Anmeldevents, welche ein PS-Script ausführen. Dieses wertet die Events aus und wenn "Admin" dann versucht es sofort abzufragen, wer am betreffenden Client angemeldet ist.
Suche mal im Web nach "windows audit logon events". Da werden Sie geholfen ...
E.
Zitat von @killtec:
Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
Die beiden Server?Habe das per GPO auf die zwei betreffenden Computer eingestellt, mal schauen was raus kommt...
Hi.
Ich würde mir ganz andere Fragen stellen:
-Warum kann sich der Admin überhaupt am Nutzerrechner anmelden? Er hat dort doch gar nichts verloren. Entzieht man ihm die Anmeldeberechtigung auf Clients, ist der "Angriff" nicht möglich
-wie konnte ein Nutzer in den Besitz des Kennwortes kommen? Wird dieser Serveradmin auch auf den Endpunkten benutzt? Warum? Das ist auf jeden Fall der falsche Weg.
Ich würde mir ganz andere Fragen stellen:
-Warum kann sich der Admin überhaupt am Nutzerrechner anmelden? Er hat dort doch gar nichts verloren. Entzieht man ihm die Anmeldeberechtigung auf Clients, ist der "Angriff" nicht möglich
-wie konnte ein Nutzer in den Besitz des Kennwortes kommen? Wird dieser Serveradmin auch auf den Endpunkten benutzt? Warum? Das ist auf jeden Fall der falsche Weg.