Active-Directory-Überwachung nebst Berichten mit ADAudit Plus
Zuhause » Active-Directory-Überwachung nebst Berichten mit ADAudit Plus
 
 

Audit-Richtlinien konfigurieren – manuelle Konfiguration

Überwachungsrichtlinien müssen konfiguriert werden, damit Ereignisse bei jeglichen Aktivitäten protokolliert werden.

1. Erweiterte Überwachungsrichtlinien konfigurieren

Erweiterte Überwachungsrichtlinien helfen Administratoren, fein abgestimmt die Kontrolle darüber zu übernehmen, welche Aktivitäten in den Protokollen aufgezeichnet werden, damit Ereignisse nicht zur Flut werden. Wir empfehlen, erweiterte Überwachungsrichtlinien auf Domänencontrollern unter Windows ab Server 2008 zu konfigurieren.

  • Melden Sie sich an einem beliebigen Computer mit Gruppenrichtlinien-Verwaltungskonsole (GPMC) an. Dann: GPMC öffnen → Rechtsklick auf Standard-Domänencontroller-Richtlinie → Bearbeiten.
  • Doppelklicken Sie unter Gruppenrichtlinienverwaltung-Editor → Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien auf die jeweilige Richtlinieneinstellung.
  • Wechseln Sie zum rechten Bereich → rechtsklicken Sie auf die relevante Unterkategorie, danach auf Eigenschaften → Erfolg, Fehler oder beides. Orientieren Sie sich an der nachstehenden Tabelle.

Kategorie Unterkategorie Audit-Ereignisse
Kontoanmeldung
  • Kerberos-Authentifizierungsdienst überwachen
 Erfolg und Fehler
Kontomanagement
  • Computerkontoverwaltung überwachen
  • Verteilergruppenverwaltung überwachen
  • Sicherheitsgruppenverwaltung überwachen
 Erfolg
  • Audits zur Benutzerkontoverwaltung
 Erfolg und Fehler
Detaillierte Überwachung
  • Prozesserstellung überwachen
  • Prozessbeendung überwachen
 Erfolg
DS-Zugriff
  • Verzeichnisdienständerungen überwachen
  • Verzeichnisdienstzugriff überwachen
 Erfolg
Anmeldung/Abmeldung
  • Anmelden überwachen
  • Netzwerkrichtlinienserver überwachen
 Erfolg und Fehler
  • Andere Anmelde-/Abmeldeereignisse überwachen
  • Abmelden überwachen
 Erfolg
Objektzugriff
  • Andere Objektzugriffsereignisse überwachen
 Erfolg
Richtlinienänderung
  • Authentifizierungsrichtlinienänderung überwachen
  • Autorisierungsrichtlinienänderung überwachen
 Erfolg
System
  • Sicherheitsstatusänderung überwachen
 Erfolg
active-directory-audit-configuring-advanced-audit-policies Angezeigtes Bild: Kontoanmeldung-Kategorie → „Kerberos-Authentifizierungsdienst überwachen“-Subkategorie → Sowohl Erfolg als auch Fehler konfiguriert.
2. Erweiterte Überwachungsrichtlinien erzwingen

Wenn Sie erweiterte Überwachungsrichtlinien verwenden, sorgen Sie dafür, dass diese zwingend Vorrang vor älteren Überwachungsrichtlinien genießen.

  • Melden Sie sich an einem beliebigen Computer mit Gruppenrichtlinien-Verwaltungskonsole (GPMC) an. Dann: GPMC öffnen → Rechtsklick auf Standard-Domänencontroller-Richtlinie → Bearbeiten.
  • Im Gruppenrichtlinienverwaltung-Editor: Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen.
  • Wechseln Sie zum rechten Bereich → Rechtsklick auf Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen → Eigenschaften → Aktivieren.
    • active-directory-audit-enforcing-advanced-audit-policies
3. Ältere Überwachungsrichtlinien konfigurieren

Die Option zur Konfiguration erweiterter Überwachungsrichtlinien ist bis Windows Server 2003 nicht verfügbar. Daher müssen Sie bei solchen Systemen die älteren (Legacy-) Überwachungsrichtlinien konfigurieren.

  • Melden Sie sich an einem beliebigen Computer mit Gruppenrichtlinien-Verwaltungskonsole (GPMC) an. Dann: GPMC öffnen → Rechtsklick auf Standard-Domänencontroller-Richtlinie → Bearbeiten.
  • Im Gruppenrichtlinienverwaltung-Editor: Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Doppelklick auf Überwachungsrichtlinie.
  • Wechseln Sie zum rechten Bereich → rechtsklicken Sie auf die relevante Richtlinie, danach auf Eigenschaften → Erfolg, Fehler oder beides. Orientieren Sie sich an der nachstehenden Tabelle:

Kategorie Audit-Ereignisse
Kontoanmeldung Erfolg und Fehler
Anmeldung/Abmeldung überwachen Erfolg und Fehler
Kontomanagement Erfolg
Verzeichnisdienstzugriff Erfolg
Prozessverfolgung Erfolg
Objektzugriff Erfolg
Systemereignisse Erfolg
active-directory-audit-configuring-legacy-audit-policies Angezeigtes Bild: Anmeldeversuche-überwachen-Kategorie → sowohl Erfolg als auch Fehler konfiguriert.

Hinweis: Zum Aktivieren der Überwachung von NTLM-Ereignissen melden Sie sich an der ADAudit-Plus-Webkonsole an. Klicken Sie auf die Registerkarte Kundendienst → klicken Sie unter Kundendienstinformationen auf Mehr → klicken Sie unter Konfiguration auf Konfigurationseinstellungen aktivieren/deaktivieren → aktivieren Sie NTLM-Überwachung.

In this article

Jetzt herunterladen Vertrieb kontaktieren Eine Demo buchen

Erfüllen Sie alle Auditing- und IT-Sicherheits-Anforderungen mit ADAudit Plus. Jetzt herunterladen.

  • Bitte geben Sie eine gültige E-Mail-Adresse ein.
  •  
  •  
    Wenn Sie auf „Holen Sie sich Ihre kostenlose Testversion“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here

  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products