multistorm
Goto Top

Wie kann ich ab bzw. Anmeldungen einzelner user am AD bzw. Server überwachen

Windows Server 2008 R2 AD & DC
Server gespeicherte Profile
Clienten laufen alle auf Windows 7

Hallo,
Ich möchte gerne angezeigt bekommen welcher User sich wann Angemeldet hat.
Ich habe unter Windows --> Verwaltung --> Ereignisse usw.
ensprechende Einträge gefunden. was mir bisher nicht gelungen ist diese nach benutzer zu Filtern.

ich möchte wirklich sehen wann sich Benutzer XYZ An bzw. abgemeldet hat. und auch nur dieser Benutzer

MFG & THX

Content-Key: 146988

Url: https://administrator.de/contentid/146988

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: clagemann
clagemann 15.07.2010 um 16:45:21 Uhr
Goto Top
Ich habs zwar noch nciht gemacht, könnte mir aber vorstellen, das es so funktioniert:

1. GPO erstellen und dort die benötigten Einstellungen machen
2. Gruppe erstellen, die diese GPO bekommen soll
3. Allen außer der Gruppe das lesen der GPO verbieten
4. GPO linken

Sollte eigentlch so funktionieren. Bleibt nur das Problem, wei du das auslesen möchtest, aber das ist ein anderes face-wink

C.
Mitglied: turangaleela
turangaleela 15.07.2010 um 17:41:52 Uhr
Goto Top
Per GPO ein an und ein Abmeldescript ausführen lassen
und dass sieht dann so aus:

LogOnDoku.cmd
Echo %date% / %time% / %computername% / LogOn		>> \\Servername\logordner\Benutzer\%username%.txt
Echo %date% / %time% / %Username% / LogOn                >> \\Servername\logordner\Computer\%Computername%.txt

LogOffDoku.cmd
Echo %date% / %time% / %computername% / LogOff		>> \\Servername\logordner\Benutzer\%username%.txt
Echo %date% / %time% / %Username% / LogOff		>> \\Servername\logordner\Computer\%Computername%.txt

So hast du im Ordner Benutzer für jeden User ein Textfile welches immer weiter Fortgeschrieben wird und dir Datum, Zeit und den Computer liefert an dem er sich angemeldet und abgemeldet hat. Außerdem gibts noch den Ordner Computer in dem du für jeden Rechner ein Textfile hast wo halt drinne Steht wann sich wer an dem jeweiligen Rechner an und abgemeldet hat.
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 15:26:43 Uhr
Goto Top
und wo trage ich das Script in die GPO ein ?
hatte schonmal geschaut aber diese GPO geschichte ist noch leicht von schatten durchzogen face-smile
Mitglied: turangaleela
turangaleela 16.07.2010 um 15:33:43 Uhr
Goto Top
lege eine neue GPO an.
in der GPO gibts dann diese beiden Attribute:
Benutzerkonfiguration/Richtlinien/Windows Einstellungen/Skripts/Anmelden als Parameter die Freigabe auf der das Script LogOnDoku liegt
Benutzerkonfiguration/Richtlinien/Windows Einstellungen/Skripts/Abmelden als Parameter die Freigabe auf der das Script LogOffDoku liegt

und diese GPO ordnest du den Gruppen zu die du überwachen willst. Oder du verknüpfst sie mit der Wurzel deiner Domain dann gilt sie für alle Benutzer.

Gruß,
Leela
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 15:52:22 Uhr
Goto Top
Ich weis ich stelle mich wahrscheinlich etwas doof an aber ich frage Trotzdem

1. GPO sind Gruppen Richtlinien richig ?
2. DIese Erreiche ich über Verwaltung Sicherheitseinstellungen auch Richtig ?
2.1 Dort kann ich aber keine neue Richtlinie Hinzufügen
3.Dan habe ich auf dem DC bzw. dem AC Server noch unter verwaltung den Punkt Gruppenrichtlinien Gefunden aber auch dort finde ich nichts zum Hinzufügen ...
4. also wo füge ich eine neue GPO hinzu
Tut mir wirklich leit das du es dür Dummys erklären must aber Gruppenrichtlinien sind wirklich komplett neu für mich

MFG Und danke nochmal und Schonmal
Mitglied: turangaleela
turangaleela 16.07.2010 um 16:08:05 Uhr
Goto Top
ok offensichtlich solltest du dich noch etwas mit Gruppenrichtlinien auseinander setzen, denn da kann man ne menge kaputt machen!
ich empfehle zum einstieg: http://www.gruppenrichtlinien.de/.
Bitte zum testen immer neue Richtlinien erstellen und nie!!! an der Default Domain Policy rumschrauben solange du nicht weist was du tust.

Kenne Server 2008 R2 nicht deshalb kann ich dir auch nicht den Klickpfad sagen aber ich steuer meine Gruppenrichtlinien über SnapIns der Managementkonsole...

Gruß,
Leela
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 16:37:17 Uhr
Goto Top
okay ich denke ich bin schon ein gutes stück weiter vieleicht kannst du mir ja sagen ob ich das soweit richtig gemacht habe

1.
Ich habe unter Verwaltung --> Gruppenrichtlinienverwaltung --> Gesamtstruktur --> Domäne --> Gruppenrichtlinienobjekte ein neues Objekt angelegt "Anmeldungen"
Diesem Objekt habe ich die Gruppe Mitarbeiter Hinzugefügt (Diese soll ja überwacht werden)

2. Ich habe eine Freigabe auf dem Server Erstellt "Scripte" und diese über $ Freigegeben

3. in dieses Verzeichnis habe ich eine Anmeldungen.txt gelegt und den code von dir 1 zu 1 Reinkopiert und anschließend den Pfad geändert

01.Echo %date% / %time% / %computername% / LogOn >> \\Servername\logordner\Benutzer\%username%.txt
02.Echo %date% / %time% / %Username% / LogOn >> \\Servername\logordner\Computer\%Computername%.txt

4. dan habe ich in dem neues GPO Objekt unter beutzer -_> Windows Einstellungen ...... Starten Das Script angegeben und als Parameter noch den Pfad zur Log Freigabe

So dan habe ich das Ganze getetstet Anmeldung per RDP am Server aber es wird keine neue TXT Datei mit loginformationen erzeugt.
muß ich die richtlinie noch aktivieren oä. ?

MFG
Mitglied: turangaleela
turangaleela 16.07.2010 um 16:43:58 Uhr
Goto Top
so wie ich das verstehe sollte das schon stimmen aber zwei dinge scheinen noch zu

Jeder zu überwachende Benutzer benötigt Ausführrechte auf die Freigabe mit den Scripten (sonnst kann er die ja nicht ausführen).
Jeder zu Überwachende Benutzer benötigt Schreibrechte in dem Log-verzeichnis.

EDIT:
Es sollte auch keine Anmelden.TXT sein sondern die scripte sollten schon auf .cmd oder .bat enden, sonst werden sie nicht ausgeführt!

EDIT2:

Um zu prüfen ob deine Scripte stimme empfehle ich dir dich als zu überwachender Benutzer (nur mit normalen rechten nicht als Admin) anzumelden und über den "ausführen..." befehl mal eines der scripte via unc-pfad auszuführen. hast du dann den entsprechenden eintrag im Logfile dann stimmen die Scripte und es muss höchstens noch die GPO angepasst werden.
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 17:18:21 Uhr
Goto Top
Zitat von @turangaleela:
so wie ich das verstehe sollte das schon stimmen aber zwei dinge scheinen noch zu

Jeder zu überwachende Benutzer benötigt Ausführrechte auf die Freigabe mit den Scripten (sonnst kann er die ja
nicht ausführen).
Jeder zu Überwachende Benutzer benötigt Schreibrechte in dem Log-verzeichnis.

Das Hatte ich schon
Das mit dem ausführen weis ich nicht genau, aber ich konnte von meinem Laptop das Script Starten also sollte auch das OK sein !

EDIT:
Es sollte auch keine Anmelden.TXT sein sondern die scripte sollten schon auf .cmd oder .bat enden, sonst werden sie nicht
ausgeführt!

Habe ich in *.cmd geändert

EDIT2:
Um zu prüfen ob deine Scripte stimme empfehle ich dir dich als zu überwachender Benutzer (nur mit normalen rechten nicht
als Admin) anzumelden und über den "ausführen..." befehl mal eines der scripte via unc-pfad auszuführen.

Das habe ich getestet und es Funktioniert !!!

Aber bei der RDP Anmeldung am Server wird kein Logeintrag angelegt oder ist RDP eine ausnahme ?!?!
Ich Starte mal meinen Rechner neu um zu schauen ob das Funktioniert ..

MFG
PS. Sollte auch das nicht funktionieren hast du noch einen Tipp für mich ?
Mitglied: turangaleela
turangaleela 16.07.2010 um 17:28:22 Uhr
Goto Top
bei RDP - schließe ich auf Terminalserver...
ich bin mir nur grade unsicher ob in diesem konkreten fall der Loopbackverarbeitungsmodus ne rolle spielt... (einfach mal danach Googlen)
wenns ansonsten nicht läuft kann es noch an den Richtlinien bzw. deren verknüpfungen liegen...
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 18:21:27 Uhr
Goto Top
ja scheint so zu sein ...

was muß den wie verknüpft werden ?!?!?!?!?
Habe in der zwischenzeit mal geschaut das GPO Objekt hat den Status Aktive ...
keine ahnung woran es liegen könnte ...

wehnn du mir deine mail adresse gibst kann ich dir gerne mal einen screen schicken vieleicht hilft dir das weiter !?!?!

im moment ist es in der tat so das keine logs angelegt werden .. warum auch immer ...
Mitglied: turangaleela
turangaleela 16.07.2010 um 18:27:36 Uhr
Goto Top
Das per mail zu klären wiederspricht dem Gedanken des Forums...
hab dir trotzdem mal ne PM geschrieben!
Mitglied: MultiStorm
MultiStorm 16.07.2010 um 20:04:11 Uhr
Goto Top
das Problem ist das ich noch nicht rausgefunden habe wie man bilder hier ins Forum stellt face-smile
habe jetzt mal einen Screen gemacht wenn du mir verätst wie ich das hier posten kann kann ich auch das machen face-smile

MFG

MultiStorm