-
Mit nativer AD-Überwachung
-
Mit ADAudit Plus
Aktivieren Sie die Audit-Richtlinie, um die Überwachung von Anmeldungen/Abmeldungen zu aktivieren, wie in Schritten 1–2 im Abschnitt zum nativen AD-Auditing beschrieben.
Klicken Sie auf die Registerkarte „Berichte“ und wählen Sie „lokale Anmeldung/Abmeldung“ aus. Hier stehen Ihnen mehrere Berichte zur Auswahl, mit denen Sie die benötigten Anmeldungsinformationen und mehr abrufen können. Zu den Anmeldungsaktivitäten werden unter anderem Anmeldeversuche, Benutzername, Anmeldungszeit, Name der Workstation sowie Anmeldungstyp angezeigt. Die Anmeldungsdauer gibt Ihnen die Zeitpunkte von Anmeldungen und Abmeldungen und die Dauer jeder angemeldeten Sitzung. Unter Benutzer-Arbeitsstunden erfahren Sie, wie lange der Benutzer insgesamt an der Workstation angemeldet war.
Hier ein Beispiel für einen solchen Bericht zu Anmeldungsaktivitäten:
Klicken Sie oben auf „erweiterte Suche“, um den Bericht zu filtern. Sie können den Bericht mit einer Vielzahl von Parametern filtern, darunter nach Benutzername, Ereignis-ID oder Domäne.
-
Schritt 1: Audit-Richtlinie aktivieren
Öffnen Sie „Server-Manager“ auf Ihrem Windows-Server.
Klicken Sie unter „Verwalten“ auf die Option „Gruppenrichtlinienmanagement“ aus, um die „Konsole für das Gruppenrichtlinienmanagement“ anzuzeigen.
Navigieren Sie zu Wald > Domäne > Ihre Domäne > Domänencontroller.
Sie können entweder ein bestehendes Gruppenrichtlinienobjekt bearbeiten oder ein neues erstellen.
Im Gruppenrichtlinien-Editor: gehen Sie auf Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Audit-Richtlinie.
Wählen Sie unter „Audit-Richtlinie“ die Option „Anmeldungsereignisse überwachen“ aus und aktivieren Sie diese für „Erfolg“ und „Fehlschlag“.
Schritt 2: Anmeldung/Abmeldung aktivieren
Gehen Sie zurück auf Computerkonfiguration und navigieren Sie zu Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Audit-Richtlinienkonfiguration > Audit-Richtlinie > Anmeldung/Abmeldung.
Konfigurieren Sie hier „Anmelden überwachen“, „Abmelden überwachen“ und „Besondere Anmeldungen überwachen“ und aktivieren Sie diese für „Erfolg“ und „Fehlschlag“.
Öffnen Sie die Konsole für das Gruppenrichtlinienmanagement und wählen Sie die GRO aus, die bearbeitet oder erzeugt werden muss. Fügen Sie rechts unter „Sicherheitsfilter“ die Benutzer hinzu, deren Anmeldungen überwacht werden müssen. Wenn Sie alle überwachen möchten, steht auch dafür eine Funktion zur Verfügung. Wenn Sie andererseits nur einen bestimmten Personenkreis überwachen, möchten, lässt sich dafür eine Gruppe hinzufügen.
Schritt 3: Überprüfung der Protokolle mit Active Directory Event Viewer
Nachdem die Anmeldungs-Audits aktiviert wurden, werden sie von Event Viewer als Ereignisse mit bestimmten Ereignis-IDs verzeichnet. Zum Anzeigen der Ereignisse öffnen Sie den Event Viewer und wechseln zu Windows-Protokolle > Sicherheit. Suchen Sie nach den Ereignis-IDs 4624 (Konto wurde angemeldet), 4634 (Konto wurde abgemeldet), 4647 (benutzerinitiierte Abmeldung), 4672 (besondere Anmeldung), 4800 (Workstation wurde gesperrt) und 4801 (Workstation wurde entsperrt).
Klicken Sie rechts auf „Aktuelles Protokoll filtern“, um die Protokolle nach Ereignis-ID oder Zeitrahmen zu filtern und so an die benötigten Informationen zu gelangen.
Wachsen Ihnen die nativen Audits ein wenig über den Kopf?
Vereinfachen Sie Server-Audits und Reporting mit ADAudit Plus.
Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe