frankas
Goto Top

Protokolle zu Benutzer-An- und -Abmeldungen (Login + Logout)

Ich bin seit längerer Zeit schon auf der Suche nach einer Möglichkeit, Protokolle zu Benutzer-An- und -Abmeldungen am Domain Controller zu erzeugen.

Mittlerweile habe ich schon sehr viel im Bereich "Windows Ereignisse" getestet, stets ohne Ergebnis. Mittlerweile bin ich noch dazu auf Hinweise gestossen, die mir
zeigen, dass derartige Protokolle auf einem Domänencontroller nicht möglich sind!?!

Dann bliebe mir offensichtlich wohl eigentlich nur die Möglichkeit, die An- und Abmeldung eines Benutzers direkt auf seinem Rechner zu protokollieren, aber
auch das bekomme ich einfach nicht hin, egal, was ich dort auch probiere (Clients mit Windows 10).

Kennt sich da jemand aus? Hat jemand Tipps für mich?

Gruß aus Ganderkesee
Frank A.

Content-Key: 3655266013

Url: https://administrator.de/contentid/3655266013

Ausgedruckt am: 04.10.2022 um 03:10 Uhr

Mitglied: SlainteMhath
SlainteMhath 15.08.2022 um 13:49:47 Uhr
Goto Top
Moin,

pragmatischer Ansatz:

Per GPO Scripts bei Login und Logoff laufen lassen die den Vorgang pro User in eine (lokale) Datei protokollieren.

lg,
Slainte
Mitglied: FrankAs
FrankAs 15.08.2022 um 13:59:16 Uhr
Goto Top
Moin Slainte,

vielen Dank für Deine schnelle Antwort.

Bin ich hier auf der richtigen Spur? >

2022-08-15 13_55_31-lokale sicherheitsrichtlinie

LG
Frank
Mitglied: Drohnald
Drohnald 15.08.2022 aktualisiert um 14:57:49 Uhr
Goto Top
Hi,
Bin ich hier auf der richtigen Spur? >

Nein.
Jedenfalls meinte @SlainteMhath wohl eher einen scheduled Task mit Trigger "anmelden" und einen mit Trigger "abmelden" die jeweils ein Skript ausführen was z.B. nach c:\temp\logging.txt schreiben.

Diesen scheduled Task per GPO an die Computer verteilen.

Edit: Oder Userbasiert über User Configuration -> Windows Settings -> Scripts

Gruß
Drohnald
Mitglied: clSchak
clSchak 17.08.2022 um 13:15:50 Uhr
Goto Top
Hi

Elasticsearch+Kibana und die Logs vom DC da reinlaufen lassen, das erleichtert die Darstellung Auswertung der Logs. Alternativ kannst auch kommerzielle Tools wie z.B. AD-Audit Plus von Manageengine oder vergleichbare Tools verwenden, die zeigen dir dann auch an, von welchem Gerät die Anmeldung erfolgt.

Neben den üblichen Logs auch, sofern noch aktiv, LocalLogon/Logoff via NTLM auditieren. (da gibt es hier einige Beiträge von @DerWoWusste zu dem Thema)