dr.zeto
Goto Top

Windows Server 2003 - unbekannter Prozess

Jeden Tag zu einer bestimmten Zeit werden Daten auf dem Server auf einen externen Datenträger geschrieben (inkrementelle Daten, kein Backup)
Programm kann nicht identifiziert werden.
Wie bekomme ich raus, welches Programm das sein kann ???

Hallo Leute,

ich hoffe ihr habt vielleicht einen Tip für mich.

Ich habe hier in der Firma in einer entfernten Niederlassung einen Windows Server 2003 Std. zur administration zugewiesen bekommen.
Jetzt war ich gerade dabei ein Backup einzurichten, als mir auffiel, dass auf dem angeschlossenen externen Datenträger jeden Abend um 23:00 Uhr
inklementelle Daten gesichert werden (Kopie der Daten in mit Datum benanntes Verzeichnis).

Leider kann ich keine Batch finden, und auch kein Programm, je selbst einen Task der auf diese Funktion hindeutet kann ich nicht identifizieren.

Habt Ihr vielleicht eine Idee, wie ich herausfinden könnten wer oder was die Daten dorthin speichert ?

Danke schon mal im voraus.

Grüße

Dr. Zeto

Content-Key: 177970

Url: https://administrator.de/contentid/177970

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: nikoatit
nikoatit 21.12.2011 um 12:24:48 Uhr
Goto Top
Moin,

schon seltsam, dass du dafür keinen Task oder ein Programmchen finden kannst (nicht mal irgendein Agent von z.B. Symantec, Acronis, etc?).
Ansonsten kannst du mal um die Uhrzeit dir die Prozesse anschauen: http://technet.microsoft.com/en-us/sysinternals/bb896653
Ich meine son Backup ist ja nicht in ein paar Sekunden fertig face-wink
Ansonsten müsste jedenfalls etwas in den Ereignisprotokollen stehen.
Schau mal dort zu der Uhrzeit rein.

Gruß
Mitglied: dr.zeto
dr.zeto 21.12.2011 um 12:30:20 Uhr
Goto Top
In der Ereingnisanzeige habe ich bereits geguckt. Dort konnte ich aber nichts finden.
Ich habe mittlerweile herausgefunden, dass die Festplatte auf die gespeichert wird
über das Netzwerk freigegen ist.
Es liegt also nahe, dass irgendein System, welches irgendwo am Standort läuft,
die Daten über das Netzwerk auf die Platte schubst...

Schon schlecht wenn man nicht mal eben an den Schrank gehen kann... !
Bei mir weiß ich wenigstens was wo und wann läuft....

Vielleicht muss mir mal unsere Niederlassung angucken...

Vielleicht hat noch jemand Ideen ?
Mitglied: YotYot
YotYot 21.12.2011 um 12:32:20 Uhr
Goto Top
Hallo,

wär da vielleicht ein geplanter Task unter einem anderen User denkbar? Hast Du alle vorhandenen Tasks mal genauer unter die Lupe genommen? Was sagt die Programmliste, ist da was dabei?
Wie heißen die Dateien, welche Endung haben sie? Ist das Laufwerk oder der Ordner freigegeben? Könnte das aus dem Netzwerk kommen?

Was kannst Du machen? Setz' Dich um 23 Uhr an den Rechner und befrage die Verwaltung nach geöffneten Dateien, dann weißt Du schon mal, welcher Benutzer das macht.

Edit: ok, knapp zu spät...
Mitglied: dr.zeto
dr.zeto 21.12.2011 um 12:35:08 Uhr
Goto Top
Es ist nie zu spät... face-wink

Danke für die Antwort...
Mitglied: Ravers
Ravers 21.12.2011 um 15:03:56 Uhr
Goto Top
Hi,

kann man vielleicht unter den Dateieigenschaften sehen, wer der Besitzer/Ersteller ist und damit folgern das XYZ-Rechner das macht?
*ImmerErstEinfachDenkt*

greetz
ravers
Mitglied: DerWoWusste
DerWoWusste 25.12.2011 um 18:58:18 Uhr
Goto Top
Moin. Das ist einfach zu lösen: schalte die Überwachung für Objektzugriffe unterhalb von secpol.msc ->Überwachung an und ändere danach die NTFS-Sicherheiteinstellungen für den Zielordner (erweitert ->Überwachung). So läuft zukünftig im Ereignisprotokoll Bereich Sicherheit auf, welcher Prozess/Nutzer dort geschrieben hat.