Wie man die Computeraktivität in Active Directory überwacht

Aktivieren der Überwachung von Computeraktivitäten

Führen Sie die folgenden Aktionen auf dem Domänencontroller (DC) aus:

1. Drücken Sie auf Start, suchen Sie nach der Gruppenrichtlinien-Verwaltungskonsole (GPMC) und öffnen Sie sie oder führen Sie den Befehl gpmc.msc aus.

2. Klicken Sie mit der rechten Maustaste auf die Domäne oder Organisationseinheit (OU), die Sie überwachen möchten, und klicken Sie auf GPO in dieser Domäne erstellen und Hier verknüpfen. Wenn Sie bereits ein Gruppenrichtlinienobjekt (GPO) erstellt haben, fahren Sie mit Schritt 4 fort.

3. Benennen Sie das Gruppenrichtlinienobjekt entsprechend.
4. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.

5. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor im linken Fensterbereich zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie.

6. Doppelklicken Sie im rechten Fensterbereich auf Systemereignisse überwachen und aktivieren Sie die Kontrollkästchen Diese Richtlinieneinstellungen definieren, Erfolg und Fehler.

7. Navigieren Sie zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → System.

8. Doppelklicken Sie im rechten Fensterbereich auf Überwachung des Sicherheitsstatus ändern und aktivieren Sie die Kontrollkästchen Folgende Überwachungsereignisse konfigurieren, Erfolg und Fehler.

9. Klicken Sie auf Übernehmen und dann auf OK.
10. Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole zurück und klicken Sie im linken Fensterbereich mit der rechten Maustaste auf die gewünschte Organisationseinheit, mit der das Gruppenrichtlinienobjekt verknüpft wurde, und klicken Sie auf Gruppenrichtlinienaktualisierung. Durch diesen Schritt wird sichergestellt, dass die neuen Gruppenrichtlinieneinstellungen sofort angewendet werden, anstatt auf die nächste geplante Aktualisierung zu warten.

Schritte zum Anzeigen dieser Ereignisse in der Ereignisanzeige (Event Viewer)

Sobald die oben genannten Schritte abgeschlossen sind, werden die Ereignisse im Ereignisprotokoll gespeichert. Dieses kann in der Ereignisanzeige angezeigt werden, indem Sie die folgenden Schritte ausführen:

1. Drücken Sie auf Start, suchen Sie nach Ereignisanzeige und klicken Sie darauf, um sie zu öffnen.
2. Navigieren Sie im Fenster Ereignisanzeige im linken Bereich zu Windows-Protokolle → Sicherheit.
3. Hier finden Sie eine Liste aller Sicherheitsereignisse, die im System protokolliert sind.

4. Klicken Sie im rechten Fensterbereich unter Sicherheit auf Aktuelles Protokoll filtern.

5. Geben Sie im Pop-up-Fenster die gewünschte Ereignis-ID* in das Feld <Alle Ereignis-IDs → ein.

*Die folgenden Ereignis-IDs werden für die angegebenen Ereignisse generiert:

Ereignis-ID	Beschreibung
6005	Der Ereignisprotokolldienst wurde gestartet (Computer wurde gestartet)
6006	Der Ereignisprotokolldienst wurde beendet (Computer wurde heruntergefahren)

6. Klicken Sie auf OK. Daraufhin wird eine Liste der Vorkommen der eingegebenen Ereignis-ID angezeigt.
7. Doppelklicken Sie auf die Ereignis-ID, um ihre Eigenschaften (Beschreibung) anzuzeigen.

Die oben beschriebene Methode ist unrealistisch, wenn Sie mit Tausenden von Computern in einer Organisation arbeiten müssen, da ein Administrator jedes Ereignis manuell nachschlagen müsste, um seine Details anzuzeigen.

Einfache Überwachung der Computeraktivität mit ADAudit Plus

ADAudit Plus, ein umfassendes AD-Überwachungstool, ermöglicht es Administratoren, das Starten und Herunterfahren von Computern sowie jede andere Änderung an AD-Objekten und ihren Attributen mühelos zu überwachen.