Anmeldeereignisse überwachen
[Einige Informationen beziehen sich auf die Vorabversion, die vor der kommerziellen Freigabe grundlegend geändert werden kann. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.]
Bestimmt, ob jede Instanz eines Benutzers überprüft werden soll, der sich an einem Gerät anmeldet oder davon abmeldet.
Kontoanmeldungsereignisse werden auf Domänencontrollern für die Aktivität des Domänenkontos und auf lokalen Geräten für die Aktivität des lokalen Kontos generiert. Wenn sowohl die Kategorie für die Kontoanmeldung als auch die Kategorie für die Anmeldungsüberwachungs-Richtlinie aktiviert sind, wird bei Anmeldungen, die ein Domänenkonto verwenden, auf der Arbeitsstation oder dem Server ein Anmelde- oder Abmeldeereignis generiert. Außerdem wird auf dem Domänencontroller ein Kontoanmeldungsereignis generiert. Darüber hinaus wird für interaktive Anmeldungen an einem Mitgliedsserver oder einer Arbeitsstation, der bzw. die ein Domänenkonto nutzt, ein Anmeldeereignis auf dem Domänencontroller generiert. Dies erfolgt, wenn bei der Anmeldung eines Benutzers die Anmeldeskripts und Richtlinien abgerufen werden. Weitere Informationen zu Kontoanmeldungsereignissen finden Sie unter Anmeldeversuche überwachen.
Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht werden, bzw. festlegen, dass der Ereignistyp überhaupt nicht überwacht wird. Bei Erfolgsüberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch erfolgreich ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn ein Anmeldeversuch nicht erfolgreich ist.
Wenn Sie diesen Wert auf Keine Überwachung festlegen möchten, aktivieren Sie im Dialogfeld Eigenschaften für diese Richtlinieneinstellung das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und deaktivieren Sie die Kontrollkästchen Erfolg und Fehler.
Konfigurieren dieser Überwachungseinstellung
Sie können diese Sicherheitseinstellung konfigurieren, indem Sie die entsprechende Richtlinie unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie“ öffnen.
| Anmeldeereignisse | Beschreibung |
|---|---|
| 528 | Ein Benutzer hat sich erfolgreich an einem Computer angemeldet. Informationen zur Art der Anmeldung finden Sie unten in der Tabelle „Anmeldetypen“. |
| 529 | Anmeldefehler. Es wurde versucht, eine Anmeldung mit einem unbekannten Benutzernamen oder einem bekannten Benutzernamen und einem falschen Kennwort durchzuführen. |
| 530 | Anmeldefehler. Es wurde versucht, sich mit einem Benutzerkonto außerhalb des zulässigen Zeitfensters anzumelden. |
| 531 | Anmeldefehler. Es wurde versucht, eine Anmeldung mit einem deaktivierten Konto durchzuführen. |
| 532 | Anmeldefehler. Es wurde versucht, eine Anmeldung mit einem abgelaufenen Konto durchzuführen. |
| 533 | Anmeldefehler. Ein Benutzer, der zur Anmeldung an diesem Computer nicht berechtigt ist, hat versucht, sich anzumelden. |
| 534 | Anmeldefehler. Der Benutzer hat versucht, sich mit einem unzulässigen Typ anzumelden. |
| 535 | Anmeldefehler. Das Kennwort für das angegebene Konto ist abgelaufen. |
| 536 | Anmeldefehler. Der Netzwerkanmeldungsdienst ist nicht aktiv. |
| 537 | Anmeldefehler. Für den Anmeldeversuch ist aus anderen Gründen ein Fehler aufgetreten. |
| 538 | Der Abmeldevorgang wurde für einen Benutzer durchgeführt. |
| 539 | Anmeldefehler. Das Konto war zum Zeitpunkt des Anmeldeversuchs gesperrt. |
| 540 | Die Anmeldung eines Benutzers in einem Netzwerk war erfolgreich. |
| 541 | Die Authentifizierung per Hauptmodus-Internetschlüsselaustausch (Internet Key Exchange, IKE) wurde zwischen dem lokalen Computer und der angegebenen Peeridentität durchgeführt (Einrichtung einer Sicherheitszuordnung), oder es wurde per Schnellmodus ein Datenkanal eingerichtet. |
| 542 | Ein Datenkanal wurde beendet. |
| 543 | Der Hauptmodus wurde beendet. |
| 544 | Bei der Hauptmodus-Authentifizierung ist ein Fehler aufgetreten, weil der Peer kein gültiges Zertifikat bereitgestellt hat oder die Signatur nicht überprüft wurde. |
| 545 | Die Hauptmodus-Authentifizierung war nicht erfolgreich, weil ein Kerberos-Fehler aufgetreten ist oder ein ungültiges Kennwort verwendet wurde. |
| 546 | Bei der Einrichtung der IKE-Sicherheitszuordnung ist ein Fehler aufgetreten, da der Peer einen ungültigen Vorschlag gesendet hat. Ein Paket mit ungültigen Daten wurde empfangen. |
| 547 | Bei einem IKE-Handshake ist ein Fehler aufgetreten. |
| 548 | Anmeldefehler. Die Sicherheits-ID (SID) einer vertrauenswürdigen Domäne stimmt nicht mit der Kontodomänen-SID des Clients überein. |
| 549 | Anmeldefehler. Alle SIDs, die zu nicht vertrauenswürdigen Namespaces gehörten, wurden während einer Authentifizierung für alle Gesamtstrukturen herausgefiltert. |
| 550 | Benachrichtigung, die unter Umständen auf einen möglichen Denial-of-Service-Angriff hinweist. |
| 551 | Ein Benutzer hat den Abmeldeprozess initiiert. |
| 552 | Ein Benutzer hat sich an einem Computer mit expliziten Anmeldeinformationen erfolgreich angemeldet, während er bereits als ein anderer Benutzer angemeldet war. |
| 682 | Ein Benutzer hat erneut eine Verbindung mit einer getrennten Terminalserversitzung hergestellt. |
| 683 | Ein Benutzer hat eine Terminalserversitzung ohne Abmeldung getrennt. |
Wenn das Ereignis 528 protokolliert wird, wird im Ereignisprotokoll auch ein Anmeldetyp angegeben. In der Tabelle unten sind die einzelnen Anmeldetypen beschrieben.
| Anmeldetyp | Titel der Anmeldung | Beschreibung |
|---|---|---|
| 2 | Interaktiv | Ein Benutzer hat sich an diesem Computer angemeldet. |
| 3 | Netzwerk | Ein Benutzer oder Computer hat sich über das Netzwerk an diesem Computer angemeldet. |
| 4 | Batch | Der Anmeldetyp „Batch“ wird von Batchservern verwendet, auf denen Prozesse unter Umständen im Namen von Benutzern ohne deren direkten Eingriff ausgeführt werden. |
| 5 | Dienst | Ein Dienst wurde vom Dienststeuerungs-Manager gestartet. |
| 7 | Entsperren | Diese Arbeitsstation wurde entsperrt. |
| 8 | NetworkCleartext | Ein Benutzer hat sich über das Netzwerk an diesem Computer angemeldet. Das Kennwort des Benutzers wurde im normalen Format ohne Hashing an das Authentifizierungspaket übergeben. Bei den integrierten Authentifizierungspaketen wird das Hashing immer auf Anmeldeinformationen angewendet, bevor sie über das Netzwerk gesendet werden. Die Anmeldeinformationen durchlaufen das Netzwerk nicht im Nur-Text-Format (auch als „Klartext“ bezeichnet). |
| 9 | NewCredentials | Ein Aufrufer hat sein aktuelles Token geklont und neue Anmeldeinformationen für ausgehende Verbindungen angegeben. Die neue Anmeldesitzung verfügt über die gleiche lokale Identität, aber es werden andere Anmeldeinformationen für andere Netzwerkverbindungen verwendet. |
| 10 | RemoteInteractive | Ein Benutzer hat für diesen Computer die Remoteanmeldung durchgeführt, indem er Terminaldienste oder Remotedesktop verwendet hat. |
| 11 | CachedInteractive | Ein Benutzer hat sich an diesem Computer mit Netzwerkanmeldeinformationen angemeldet, die lokal auf dem Computer gespeichert waren. Der Domänencontroller wurde nicht kontaktiert, um die Anmeldeinformationen zu überprüfen. |
Verwandte Themen
Grundlegende Einstellungen für Sicherheitsüberwachungsrichtlinien