Protokolle zu Benutzer-An- und -Abmeldungen (Login + Logout)
Ich bin seit längerer Zeit schon auf der Suche nach einer Möglichkeit, Protokolle zu Benutzer-An- und -Abmeldungen am Domain Controller zu erzeugen.
Mittlerweile habe ich schon sehr viel im Bereich "Windows Ereignisse" getestet, stets ohne Ergebnis. Mittlerweile bin ich noch dazu auf Hinweise gestossen, die mir
zeigen, dass derartige Protokolle auf einem Domänencontroller nicht möglich sind!?!
Dann bliebe mir offensichtlich wohl eigentlich nur die Möglichkeit, die An- und Abmeldung eines Benutzers direkt auf seinem Rechner zu protokollieren, aber
auch das bekomme ich einfach nicht hin, egal, was ich dort auch probiere (Clients mit Windows 10).
Kennt sich da jemand aus? Hat jemand Tipps für mich?
Gruß aus Ganderkesee
Frank A.
Mittlerweile habe ich schon sehr viel im Bereich "Windows Ereignisse" getestet, stets ohne Ergebnis. Mittlerweile bin ich noch dazu auf Hinweise gestossen, die mir
zeigen, dass derartige Protokolle auf einem Domänencontroller nicht möglich sind!?!
Dann bliebe mir offensichtlich wohl eigentlich nur die Möglichkeit, die An- und Abmeldung eines Benutzers direkt auf seinem Rechner zu protokollieren, aber
auch das bekomme ich einfach nicht hin, egal, was ich dort auch probiere (Clients mit Windows 10).
Kennt sich da jemand aus? Hat jemand Tipps für mich?
Gruß aus Ganderkesee
Frank A.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3655266013
Url: https://administrator.de/forum/protokolle-zu-benutzer-an-und-abmeldungen-login-logout-3655266013.html
Ausgedruckt am: 01.05.2025 um 10:05 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Nein.
Jedenfalls meinte @SlainteMhath wohl eher einen scheduled Task mit Trigger "anmelden" und einen mit Trigger "abmelden" die jeweils ein Skript ausführen was z.B. nach c:\temp\logging.txt schreiben.
Diesen scheduled Task per GPO an die Computer verteilen.
Edit: Oder Userbasiert über User Configuration -> Windows Settings -> Scripts
Gruß
Drohnald
Bin ich hier auf der richtigen Spur? >
Nein.
Jedenfalls meinte @SlainteMhath wohl eher einen scheduled Task mit Trigger "anmelden" und einen mit Trigger "abmelden" die jeweils ein Skript ausführen was z.B. nach c:\temp\logging.txt schreiben.
Diesen scheduled Task per GPO an die Computer verteilen.
Edit: Oder Userbasiert über User Configuration -> Windows Settings -> Scripts
Gruß
Drohnald
Hi
Elasticsearch+Kibana und die Logs vom DC da reinlaufen lassen, das erleichtert die Darstellung Auswertung der Logs. Alternativ kannst auch kommerzielle Tools wie z.B. AD-Audit Plus von Manageengine oder vergleichbare Tools verwenden, die zeigen dir dann auch an, von welchem Gerät die Anmeldung erfolgt.
Neben den üblichen Logs auch, sofern noch aktiv, LocalLogon/Logoff via NTLM auditieren. (da gibt es hier einige Beiträge von @DerWoWusste zu dem Thema)
Elasticsearch+Kibana und die Logs vom DC da reinlaufen lassen, das erleichtert die Darstellung Auswertung der Logs. Alternativ kannst auch kommerzielle Tools wie z.B. AD-Audit Plus von Manageengine oder vergleichbare Tools verwenden, die zeigen dir dann auch an, von welchem Gerät die Anmeldung erfolgt.
Neben den üblichen Logs auch, sofern noch aktiv, LocalLogon/Logoff via NTLM auditieren. (da gibt es hier einige Beiträge von @DerWoWusste zu dem Thema)