9
Tätigkeiten vom Administrator im Active Directory protokollieren
Hi 
Ich suche eine Möglichkeit Administratoren unter Windows 2003 zu protokollieren.
Dazu gehören Sachen wie Änderungen im Active Directory, Benutzerverwaltung usw.
Der Administrator selber darf keine Möglichkeit haben diese Protokolle zu manipulieren.
Kennt jemand vielleicht eine Möglichkeit ?
MFG
Richard
Ich suche eine Möglichkeit Administratoren unter Windows 2003 zu protokollieren.
Dazu gehören Sachen wie Änderungen im Active Directory, Benutzerverwaltung usw.
Der Administrator selber darf keine Möglichkeit haben diese Protokolle zu manipulieren.
Kennt jemand vielleicht eine Möglichkeit ?
MFG
Richard
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 14187
Url: https://administrator.de/contentid/14187
Printed on: April 19, 2024 at 14:04 o'clock
9 Comments
Latest comment
Und wie soll das gehen? Da du ja als admin das recht hast, dir alle Rechte zu geben.
Tja das ist die Frage -> die Protokolle müsten auf einen unabhängigen Protokollserver geschrieben werden auf den der Administrator so in der Form keinen Zugriff hat. Erstmal wäre es interessant überhaubt vernüftig Loggen zu können.
Theoretisch gibt es einige Richtlinien dafür ( Objektzugriffsversuche überwachen ) welche aber bisher nur protokollieren ob auf ein GPO zugegriffen worden ist.
Irgendwelche Ideen
?
Theoretisch gibt es einige Richtlinien dafür ( Objektzugriffsversuche überwachen ) welche aber bisher nur protokollieren ob auf ein GPO zugegriffen worden ist.
Irgendwelche Ideen
?
Moin,
das klingt für mich ein wenig nach "den Admin überführen" ...?
Ich rate da von "technischen Spielchen" ab. Erstmal sieht der Admin "eigentlich" alles. Zweitens kommt dann der rechtliche Punkt "Technische Überwachung von Mitarbeitern" in´s Spiel ? das kann arg nach hinten losgehen ...(heikles Thema!).
Ich empfehle ein offenes Gespräch, falls Unstimmigkeiten oder Verdachtsmomente vorhanden sind. Klare (schriftliche) Anweisungen können auch sehr hilfreich sein.
Diese ganze "durch den Rücken über die linke Schulter in´s Auge"-Vorgehensweise endet fast immer im Rechtsstreit ? erspart Euch das durch klare Gespräche.
Gruß, Rene
PS: Wann immer ein Unternehmen über einen "Admin für den Admin" nachdenken muss, ist die Vertrauensbasis ? und damit die Grundlage der Zusammenarbeit ? fast schon hinfällig.
Außerdem fällt mir dazu wieder der sehr gute Artikel
Das deprimierende Märchen von den sieben Zwergen
ein
das klingt für mich ein wenig nach "den Admin überführen" ...?
Ich rate da von "technischen Spielchen" ab. Erstmal sieht der Admin "eigentlich" alles. Zweitens kommt dann der rechtliche Punkt "Technische Überwachung von Mitarbeitern" in´s Spiel ? das kann arg nach hinten losgehen ...(heikles Thema!).
Ich empfehle ein offenes Gespräch, falls Unstimmigkeiten oder Verdachtsmomente vorhanden sind. Klare (schriftliche) Anweisungen können auch sehr hilfreich sein.
Diese ganze "durch den Rücken über die linke Schulter in´s Auge"-Vorgehensweise endet fast immer im Rechtsstreit ? erspart Euch das durch klare Gespräche.
Gruß, Rene
PS: Wann immer ein Unternehmen über einen "Admin für den Admin" nachdenken muss, ist die Vertrauensbasis ? und damit die Grundlage der Zusammenarbeit ? fast schon hinfällig.
Außerdem fällt mir dazu wieder der sehr gute Artikel
Das deprimierende Märchen von den sieben Zwergen
ein
hmmm nein darum geht es nicht
Ich sehe das genauso wie du, ein offnes Gespräch ist viel mehr wehrt als merkwürdige Überwachungsmethoden.
Es geht aber darum, dass ein Administrator auf einem Domain Controller sehr viel Macht besitzt. Dies muss er ja auch haben da er die Systeme verwalten muss. Trotzdem ist es manchmal Sinnvoll zu protokollieren was genau denn getan wird, falls etwas schief geht.
Man unterstelle niemanden etwas böses, trotzdem sollte selbst für einen Admin nicht möglich sein bestimmte Dinge ungesehen zu tun. Dazu gehören Sitzungen bei Terminalserver anzusehen ( Benutzererlaubniss muss nicht eingeholt werden, läst sich mit einem Klick einstellen ), "befreundete" Benutzer mehr Rechte geben damit diese vielleicht Dokumente einsehen können die sie normalerweise nicht sehen können. Unterlagen und Emails vom Betriebsrat, Personalabteilung, Chefetage etc.
Es geht dabei nicht um Überwachung, sondern um Protokollierung von hoch sensiblen Tätigkeiten.
Ich sehe das genauso wie du, ein offnes Gespräch ist viel mehr wehrt als merkwürdige Überwachungsmethoden.
Es geht aber darum, dass ein Administrator auf einem Domain Controller sehr viel Macht besitzt. Dies muss er ja auch haben da er die Systeme verwalten muss. Trotzdem ist es manchmal Sinnvoll zu protokollieren was genau denn getan wird, falls etwas schief geht.
Man unterstelle niemanden etwas böses, trotzdem sollte selbst für einen Admin nicht möglich sein bestimmte Dinge ungesehen zu tun. Dazu gehören Sitzungen bei Terminalserver anzusehen ( Benutzererlaubniss muss nicht eingeholt werden, läst sich mit einem Klick einstellen ), "befreundete" Benutzer mehr Rechte geben damit diese vielleicht Dokumente einsehen können die sie normalerweise nicht sehen können. Unterlagen und Emails vom Betriebsrat, Personalabteilung, Chefetage etc.
Es geht dabei nicht um Überwachung, sondern um Protokollierung von hoch sensiblen Tätigkeiten.
Das Problem kann ich zwar nachvollziehen, aber mit einer Lösung wird es schwer. Und etwas vertrauen sollte man zu seinen Mitarebitern schon haben. Wichtige Mails oder Dukumente könnte ja zb. per Verschlüsselung gesichert werden. Wo natürlich der Admin keinen "Nachschlüssel" haben darf.
Moin,
@ xqTpx (Richard):
Und genau das trifft den Kern: Vertrauen!
Wenn man dem Admin nicht "blind" diese sensiblen Daten in die "Verfügungsgewalt" geben 'kann', ist die Vertrauensbasis gestört.
Übrigens ist das ein Grund, warum viele Unternehmen keine Mitarbeiter als Admin´s einsetzen ? die vertraulichen information von Betriebsäten und GF-Ebene ...
Gruß, Rene
@ xqTpx (Richard):
Und genau das trifft den Kern: Vertrauen!
Wenn man dem Admin nicht "blind" diese sensiblen Daten in die "Verfügungsgewalt" geben 'kann', ist die Vertrauensbasis gestört.
Übrigens ist das ein Grund, warum viele Unternehmen keine Mitarbeiter als Admin´s einsetzen ? die vertraulichen information von Betriebsäten und GF-Ebene ...
Gruß, Rene
Im Prinzip hast du Recht Rene.
Trotzdem sollte und muß es möglich sein zu protokollieren.
Dies ist unter anderem durch das Gesetz für öffentliche Stellen vorgeschrieben.
( Schleswig Holstein, LDSG §6 Abs. 4, DSVO §8 Abs. 4 )
Ich finde das gut, denn wenn von Behörden alle Daten elektronisch verarbeitet werden, und dein Fingerabdruck, Biometrische Merkmale und Digitales Gesichtsbild auf einem File Server irgendwo in einer Behörde rum liegen, möchtest du nicht umbedingt einem wildfremden Administrator vertrauen.
Gruß Richard
Trotzdem sollte und muß es möglich sein zu protokollieren.
Dies ist unter anderem durch das Gesetz für öffentliche Stellen vorgeschrieben.
( Schleswig Holstein, LDSG §6 Abs. 4, DSVO §8 Abs. 4 )
Ich finde das gut, denn wenn von Behörden alle Daten elektronisch verarbeitet werden, und dein Fingerabdruck, Biometrische Merkmale und Digitales Gesichtsbild auf einem File Server irgendwo in einer Behörde rum liegen, möchtest du nicht umbedingt einem wildfremden Administrator vertrauen.
Gruß Richard
Hallo Richard,
da stimme ich Dir uneingeschränkt zu.
Allerdings "rückst" Du gerade auch das Erste Mal mit der Info raus, dass es um eine Öffentliche Stelle geht.
Gruß, Rene
PS: Du beziehst Dich auf SH? Ich sitze hier in Bad Bramstedt
da stimme ich Dir uneingeschränkt zu.
Allerdings "rückst" Du gerade auch das Erste Mal mit der Info raus, dass es um eine Öffentliche Stelle geht
.Gruß, Rene
PS: Du beziehst Dich auf SH? Ich sitze hier in Bad Bramstedt
Tue ich , Gruß aus Kiel !
, Gruß aus Kiel !
