4
Was sagt der Eintrag im Feld LETZTE ANMELDUNG VON im Exchange Server Manager unter Postfächer aus?
Im Server-Manager des Exchange stehen verwirrende Informationen im Feld "LETZTE ANMELDUNG VON".
Guten Abend,
zwecks Überprüfung der Sicherheitsrichtlinien habe ich die Logfiles der Exchange Server überprüft, und rein optisch die "letzten Anmeldungen" im Server-Manager auf sensible Konten (z.B. Geschäftsführung etc.) durchgesehen. Bei einigen Postfächern wird unter letzter Zugriff aber nicht der berechtigte Postfachbesitzer angezeigt, sondern diverse andere Benutzer. Die Benutzer teilen sich weder Kalender noch freigegebene Ordner. In den Logfiles kann ich keine unerlaubten, erfolgreichen Logins auf fremde Postfächer sehen. Die Objektüberwachung ist aber eingeschaltet.
Hat jemand eine Erklärung für die Anzeige der "falschen" letzten Anmeldungen auf die Postfächer?
Vielen Dank für die Hilfe.
Gnomito
Guten Abend,
zwecks Überprüfung der Sicherheitsrichtlinien habe ich die Logfiles der Exchange Server überprüft, und rein optisch die "letzten Anmeldungen" im Server-Manager auf sensible Konten (z.B. Geschäftsführung etc.) durchgesehen. Bei einigen Postfächern wird unter letzter Zugriff aber nicht der berechtigte Postfachbesitzer angezeigt, sondern diverse andere Benutzer. Die Benutzer teilen sich weder Kalender noch freigegebene Ordner. In den Logfiles kann ich keine unerlaubten, erfolgreichen Logins auf fremde Postfächer sehen. Die Objektüberwachung ist aber eingeschaltet.
Hat jemand eine Erklärung für die Anzeige der "falschen" letzten Anmeldungen auf die Postfächer?
Vielen Dank für die Hilfe.
Gnomito
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 103260
Url: https://administrator.de/contentid/103260
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo Gnomito
Ist es möglich, dass diese Personen ihren Kalender freigeschaltet haben? Wenn dann jemand auf den Kalender zugreift wird das im Exchange als letzter Zugriff markiert.
Gruss phil
Ist es möglich, dass diese Personen ihren Kalender freigeschaltet haben? Wenn dann jemand auf den Kalender zugreift wird das im Exchange als letzter Zugriff markiert.
Gruss phil
Hallo Phil,
nein. Das ist gerade der Punkt: Die Angaben unter letzter Abmeldung sind gerade deshalb so auffällig, weil diese Mitarbeiter niemals Kalender oder Ordner untereinander freischalten würden.
Ich bin da ratlos.
Gruss
Gnomito
nein. Das ist gerade der Punkt: Die Angaben unter letzter Abmeldung sind gerade deshalb so auffällig, weil diese Mitarbeiter niemals Kalender oder Ordner untereinander freischalten würden.
Ich bin da ratlos.
Gruss
Gnomito
Moin moin,
das wird auch gesetzt wenn jemand eine Besprechung plant und in der Terminplanung diesen Kollegen einfügt. Beim Abfragen der frei/gebucht-Infos findet offenbar ein Postfachzugriff statt.
(auf gut Deutsch: diese Info sagt herzlich wenig aus über unberechtigte Zugriffsversuche)
Gruß
Bernhard
das wird auch gesetzt wenn jemand eine Besprechung plant und in der Terminplanung diesen Kollegen einfügt. Beim Abfragen der frei/gebucht-Infos findet offenbar ein Postfachzugriff statt.
(auf gut Deutsch: diese Info sagt herzlich wenig aus über unberechtigte Zugriffsversuche)
Gruß
Bernhard
Hallo Bernhard,
vielen Dank für den Hinweis. Ich habe das mal nachgestellt und tatsächlich wird bei der Erstellung einer Besprechungsanfrage ein Zugriff auf die entsprechenden Postfächer gestartet. Damit ist die Anzeige im ServerManager tatsächlich völlig nutzlos.
Zudem wird da auch noch die Sinnhaftigkeit der EventID 1016 ausgehebelt. Erst der Quervergleich mit anderen IDs gibt einen Hinweis darauf, ob es wirklich zu einen "echten" Login auf ein fremdes Postfach gekommen ist.
Vielen Dank für die Hilfe.
vielen Dank für den Hinweis. Ich habe das mal nachgestellt und tatsächlich wird bei der Erstellung einer Besprechungsanfrage ein Zugriff auf die entsprechenden Postfächer gestartet. Damit ist die Anzeige im ServerManager tatsächlich völlig nutzlos.
Zudem wird da auch noch die Sinnhaftigkeit der EventID 1016 ausgehebelt. Erst der Quervergleich mit anderen IDs gibt einen Hinweis darauf, ob es wirklich zu einen "echten" Login auf ein fremdes Postfach gekommen ist.
Vielen Dank für die Hilfe.
