Protokolle zu Benutzer-An- und -Abmeldungen (Login + Logout)
Ich bin seit längerer Zeit schon auf der Suche nach einer Möglichkeit, Protokolle zu Benutzer-An- und -Abmeldungen am Domain Controller zu erzeugen.
Mittlerweile habe ich schon sehr viel im Bereich "Windows Ereignisse" getestet, stets ohne Ergebnis. Mittlerweile bin ich noch dazu auf Hinweise gestossen, die mir
zeigen, dass derartige Protokolle auf einem Domänencontroller nicht möglich sind!?!
Dann bliebe mir offensichtlich wohl eigentlich nur die Möglichkeit, die An- und Abmeldung eines Benutzers direkt auf seinem Rechner zu protokollieren, aber
auch das bekomme ich einfach nicht hin, egal, was ich dort auch probiere (Clients mit Windows 10).
Kennt sich da jemand aus? Hat jemand Tipps für mich?
Gruß aus Ganderkesee
Frank A.
Mittlerweile habe ich schon sehr viel im Bereich "Windows Ereignisse" getestet, stets ohne Ergebnis. Mittlerweile bin ich noch dazu auf Hinweise gestossen, die mir
zeigen, dass derartige Protokolle auf einem Domänencontroller nicht möglich sind!?!
Dann bliebe mir offensichtlich wohl eigentlich nur die Möglichkeit, die An- und Abmeldung eines Benutzers direkt auf seinem Rechner zu protokollieren, aber
auch das bekomme ich einfach nicht hin, egal, was ich dort auch probiere (Clients mit Windows 10).
Kennt sich da jemand aus? Hat jemand Tipps für mich?
Gruß aus Ganderkesee
Frank A.
Please also mark the comments that contributed to the solution of the article
Content-Key: 3655266013
Url: https://administrator.de/contentid/3655266013
Printed on: May 2, 2024 at 22:05 o'clock
4 Comments
Latest comment
Hi,
Nein.
Jedenfalls meinte @SlainteMhath wohl eher einen scheduled Task mit Trigger "anmelden" und einen mit Trigger "abmelden" die jeweils ein Skript ausführen was z.B. nach c:\temp\logging.txt schreiben.
Diesen scheduled Task per GPO an die Computer verteilen.
Edit: Oder Userbasiert über User Configuration -> Windows Settings -> Scripts
Gruß
Drohnald
Bin ich hier auf der richtigen Spur? >
Nein.
Jedenfalls meinte @SlainteMhath wohl eher einen scheduled Task mit Trigger "anmelden" und einen mit Trigger "abmelden" die jeweils ein Skript ausführen was z.B. nach c:\temp\logging.txt schreiben.
Diesen scheduled Task per GPO an die Computer verteilen.
Edit: Oder Userbasiert über User Configuration -> Windows Settings -> Scripts
Gruß
Drohnald
Hi
Elasticsearch+Kibana und die Logs vom DC da reinlaufen lassen, das erleichtert die Darstellung Auswertung der Logs. Alternativ kannst auch kommerzielle Tools wie z.B. AD-Audit Plus von Manageengine oder vergleichbare Tools verwenden, die zeigen dir dann auch an, von welchem Gerät die Anmeldung erfolgt.
Neben den üblichen Logs auch, sofern noch aktiv, LocalLogon/Logoff via NTLM auditieren. (da gibt es hier einige Beiträge von @DerWoWusste zu dem Thema)
Elasticsearch+Kibana und die Logs vom DC da reinlaufen lassen, das erleichtert die Darstellung Auswertung der Logs. Alternativ kannst auch kommerzielle Tools wie z.B. AD-Audit Plus von Manageengine oder vergleichbare Tools verwenden, die zeigen dir dann auch an, von welchem Gerät die Anmeldung erfolgt.
Neben den üblichen Logs auch, sofern noch aktiv, LocalLogon/Logoff via NTLM auditieren. (da gibt es hier einige Beiträge von @DerWoWusste zu dem Thema)