gnomito
Goto Top

Was sagt der Eintrag im Feld LETZTE ANMELDUNG VON im Exchange Server Manager unter Postfächer aus?

Im Server-Manager des Exchange stehen verwirrende Informationen im Feld "LETZTE ANMELDUNG VON".

Guten Abend,

zwecks Überprüfung der Sicherheitsrichtlinien habe ich die Logfiles der Exchange Server überprüft, und rein optisch die "letzten Anmeldungen" im Server-Manager auf sensible Konten (z.B. Geschäftsführung etc.) durchgesehen. Bei einigen Postfächern wird unter letzter Zugriff aber nicht der berechtigte Postfachbesitzer angezeigt, sondern diverse andere Benutzer. Die Benutzer teilen sich weder Kalender noch freigegebene Ordner. In den Logfiles kann ich keine unerlaubten, erfolgreichen Logins auf fremde Postfächer sehen. Die Objektüberwachung ist aber eingeschaltet.
Hat jemand eine Erklärung für die Anzeige der "falschen" letzten Anmeldungen auf die Postfächer?

Vielen Dank für die Hilfe.

Gnomito

Content-ID: 103260

Url: https://administrator.de/contentid/103260

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

iPhil-CH
iPhil-CH 03.12.2008 um 19:09:18 Uhr
Goto Top
Hallo Gnomito

Ist es möglich, dass diese Personen ihren Kalender freigeschaltet haben? Wenn dann jemand auf den Kalender zugreift wird das im Exchange als letzter Zugriff markiert.

Gruss phil
gnomito
gnomito 04.12.2008 um 09:37:32 Uhr
Goto Top
Hallo Phil,

nein. Das ist gerade der Punkt: Die Angaben unter letzter Abmeldung sind gerade deshalb so auffällig, weil diese Mitarbeiter niemals Kalender oder Ordner untereinander freischalten würden.

Ich bin da ratlos.

Gruss
Gnomito
BernhardMeierrose
BernhardMeierrose 04.12.2008 um 12:58:14 Uhr
Goto Top
Moin moin,

das wird auch gesetzt wenn jemand eine Besprechung plant und in der Terminplanung diesen Kollegen einfügt. Beim Abfragen der frei/gebucht-Infos findet offenbar ein Postfachzugriff statt.
(auf gut Deutsch: diese Info sagt herzlich wenig aus über unberechtigte Zugriffsversuche)


Gruß
Bernhard
gnomito
gnomito 06.12.2008 um 11:27:14 Uhr
Goto Top
Hallo Bernhard,

vielen Dank für den Hinweis. Ich habe das mal nachgestellt und tatsächlich wird bei der Erstellung einer Besprechungsanfrage ein Zugriff auf die entsprechenden Postfächer gestartet. Damit ist die Anzeige im ServerManager tatsächlich völlig nutzlos.

Zudem wird da auch noch die Sinnhaftigkeit der EventID 1016 ausgehebelt. Erst der Quervergleich mit anderen IDs gibt einen Hinweis darauf, ob es wirklich zu einen "echten" Login auf ein fremdes Postfach gekommen ist.

Vielen Dank für die Hilfe.