Client von wo aus sich jemand an der Domäne authentifiziert loggen
Hallo Admins
Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.
Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.
Hiebei wäre es interessant, was mir Get-Eventlog zurückgibt, bzw wie finde ich hereaus, was ich "selecten" kann? Also wie gehe ich vor um zu schauen was es hier gibt.
Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.
Hier habe ich generell ein wenig verständnisprobleme.
Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?
Danke und Gruss
P.
Kann mir jemand helfen? Ich möchte gerne wissen wo überall der die Zugangsdaten des Domainadmins hinterlegt wurden.
Dabei muss er sich ja an einem Domaincontroller authentifizieren und ich dachte mir, ich würde mit einem Powershell-skript und der Aufgabenplanung, das Eventlog überwachen.
Mit meinem 1. Ansatz mit Get-Eventlog krieg ich den Filter nicht hin, dass nur admin@domäne gfunden wird.
Get-EventLog -LogName Security -InstanceId 4624 -Newest 1
Bei meinem 2. Ansatz klappt es noch nicht ganz mit dem Arbeitsstation, also von wo die Anmeldung kommt.
Get-WinEvent -FilterHashtable @{logname='security';id=4624;data='Administrator'} |
Select-Object -Property timecreated,
@{label='username';expression={$_.properties.value}},
@{label='computername';expression={$_.properties[1].value}}
Wie würdet ihr das machen?
Ist Powershell, Eventlog überhaupt die beste Lösung hierfür?
Danke und Gruss
P.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333521
Url: https://administrator.de/forum/client-von-wo-aus-sich-jemand-an-der-domaene-authentifiziert-loggen-333521.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
6 Kommentare
Neuester Kommentar
Hi Pablovic.
Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, obsich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?
Es ist nicht klar, was Du willst und warum.
->Willst Du aus Sicherheitsgedanken motiviert testen, obsich ein Domänenadmin irgendwo anmeldet, wo es er besser nicht sollte?
->oder willst Du vermeiden, dass Kennwort-Hashes auf Clients gespeichert werden?
->oder geht es dir um "hinterlegte Kennwörter" im eigentlichen Sinne, also Credentials im Windows-Tresor?
Ok, Du musst die Verwendung von Domänenadmins für lokale Funktionen wie Dienste oder geplante Tasks dringend loswerden - das ist zu gefährlich. Zum Aufspüren würde ich nicht am DC monitoren, sondern Skripte oder Tools nehmen, wie den Service Credentials Manager: http://www.cjwdev.com/Software/ServiceCredMan/Download.html