Freigeben über

Überwachen von Active Directory-Objekten in Windows Server 2003

In diesem schrittweisen Artikel wird beschrieben, wie Sie die Windows Server 2003-Überwachung verwenden, um Benutzeraktivitäten und systemweite Ereignisse in Active Directory nachzuverfolgen.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 814595

Zusammenfassung

Sie können die Windows Server 2003-Überwachung verwenden, um sowohl Benutzeraktivitäten als auch Windows Server 2003-Aktivitäten nachzuverfolgen, die benannte Ereignisse auf einem Computer sind. Wenn Sie die Überwachung verwenden, können Sie angeben, welche Ereignisse in das Sicherheitsprotokoll geschrieben werden. Beispielsweise kann das Sicherheitsprotokoll sowohl gültige als auch ungültige Anmeldeversuche und Ereignisse aufzeichnen, die sich auf das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten beziehen. Ein Überwachungseintrag im Sicherheitsprotokoll enthält die folgenden Informationen:

  • Die Aktion, die abgeschlossen ist.
  • Der Benutzer, der die Aktion ausgeführt hat.
  • Der Erfolg oder Fehler des Ereignisses und der Zeitpunkt, zu dem das Ereignis aufgetreten ist.

Eine Überwachungsrichtlinieneinstellung definiert die Kategorien von Ereignissen, die Windows Server 2003 im Sicherheitsprotokoll auf jedem Computer protokolliert. Das Sicherheitsprotokoll ermöglicht es Ihnen, die von Ihnen angegebenen Ereignisse nachzuverfolgen.

Wenn Sie Active Directory-Ereignisse überwachen, schreibt Windows Server 2003 ein Ereignis in das Sicherheitsprotokoll auf dem Domänencontroller. Beispielsweise versucht ein Benutzer, sich mit einem Domänenbenutzerkonto bei der Domäne anzumelden. Wenn der Anmeldeversuch nicht erfolgreich ist, wird das Ereignis auf dem Domänencontroller und nicht auf dem Computer aufgezeichnet, auf dem der Anmeldeversuch durchgeführt wurde. Dieses Verhalten tritt auf, da es sich um den Domänencontroller handelt, der versucht hat, den Anmeldeversuch zu authentifizieren, dies aber nicht möglich war.

Verwenden Sie Ereignisanzeige, um Ereignisse anzuzeigen, die windows Server 2003 im Sicherheitsprotokoll protokolliert. Sie können Protokolldateien auch archivieren, um Trends im Laufe der Zeit nachzuverfolgen. Sie möchten z. B. die Verwendung von Druckern oder Dateien ermitteln oder die Verwendung nicht autorisierter Ressourcen überprüfen.

So aktivieren Sie die Überwachung von Active Directory-Objekten:

  • Konfigurieren Sie eine Überwachungsrichtlinieneinstellung für einen Domänencontroller. Wenn Sie eine Überwachungsrichtlinieneinstellung konfigurieren, können Sie Objekte überwachen, aber nicht das Objekt angeben, das Sie überwachen möchten.
  • Konfigurieren sie die Überwachung für bestimmte Active Directory-Objekte. Nachdem Sie die Ereignisse angegeben haben, die für Dateien, Ordner, Drucker und Active Directory-Objekte überwacht werden sollen, verfolgt Windows Server 2003 diese Ereignisse und protokolliert diese Ereignisse.

Konfigurieren einer Überwachungsrichtlinieneinstellung für einen Domänencontroller

Die Überwachung ist standardmäßig deaktiviert. Für Domänencontroller wird eine Überwachungsrichtlinieneinstellung für alle Domänencontroller in der Domäne konfiguriert. Um Ereignisse zu überwachen, die auf Domänencontrollern auftreten, konfigurieren Sie eine Überwachungsrichtlinieneinstellung, die für alle Domänencontroller in einem nicht lokalen Gruppenrichtlinienobjekt (GPO) für die Domäne gilt. Sie können über die Organisationseinheit Domänencontroller auf diese Richtlinieneinstellung zugreifen. Um den Benutzerzugriff auf Active Directory-Objekte zu überwachen, konfigurieren Sie die Ereigniskategorie "Überwachungsverzeichnisdienstzugriff" in der Überwachungsrichtlinieneinstellung.

Notiz

  • Sie müssen dem Computer, auf dem Sie entweder eine Überwachungsrichtlinieneinstellung konfigurieren oder ein Überwachungsprotokoll überprüfen möchten, den Benutzer "Überwachung und Sicherheitsprotokoll verwalten" erteilen. Standardmäßig gewährt Windows Server 2003 diese Rechte der Gruppe "Administratoren".
  • Die Dateien und Ordner, die Sie überwachen möchten, müssen sich auf Microsoft Windows NT-Dateisystemvolumes (NTFS) befinden.

So konfigurieren Sie eine Überwachungsrichtlinieneinstellung für einen Domänencontroller:

  1. Wählen Sie "Verwaltungstools für Programme>starten>" und dann Active Directory-Benutzer und -Computer aus.

  2. Wählen Sie im Menü "Ansicht" die Option "Erweiterte Features" aus.

  3. Klicken Sie mit der rechten Maustaste auf Domänencontroller, und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie die Registerkarte "Gruppenrichtlinie ", dann "Standarddomänencontrollerrichtlinie" und dann " Bearbeiten" aus.

  5. Wählen Sie "Computerkonfiguration" aus, doppelklicken Sie auf "Windows-Einstellungen", doppelklicken Sie auf "Sicherheitseinstellungen", doppelklicken Sie auf "Lokale Richtlinien", und doppelklicken Sie dann auf "Überwachungsrichtlinie".

  6. Klicken Sie im rechten Bereich mit der rechten Maustaste auf "Verzeichnisdienste überwachen", und wählen Sie dann "Eigenschaften" aus.

  7. Wählen Sie "Diese Richtlinieneinstellungen definieren" aus, und aktivieren Sie dann ein oder beide der folgenden Kontrollkästchen:

    • Erfolg: Aktivieren Sie dieses Kontrollkästchen, um erfolgreiche Versuche für die Ereigniskategorie zu überwachen.
    • Fehler: Aktivieren Sie dieses Kontrollkästchen, um fehlgeschlagene Versuche für die Ereigniskategorie zu überwachen.

  8. Klicken Sie mit der rechten Maustaste auf eine andere Ereigniskategorie, die Sie überwachen möchten, und wählen Sie dann "Eigenschaften" aus.

  9. Klicken Sie auf OK.

  10. Die Änderungen, die Sie an der Überwachungsrichtlinieneinstellung Ihres Computers vornehmen, werden nur wirksam, wenn die Richtlinieneinstellung weitergegeben oder auf Ihren Computer angewendet wird. Führen Sie eine der folgenden Schritte aus, um die Richtlinienverteilung zu initiieren:

    • Geben Sie gpupdate /Target:computer die Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.
    • Warten Sie auf die automatische Richtlinienverteilung, die in regelmäßigen Intervallen auftritt, die Sie konfigurieren können. Standardmäßig erfolgt die Richtlinienverteilung alle fünf Minuten.

  11. Öffnen Sie das Sicherheitsprotokoll, um protokollierte Ereignisse anzuzeigen.

    Notiz

    Wenn Sie entweder eine Domäne oder ein Unternehmensadministrator sind, können Sie die Sicherheitsüberwachung für Arbeitsstationen, Mitgliedsserver und Domänencontroller remote aktivieren.

Konfigurieren der Überwachung für bestimmte Active Directory-Objekte

Nachdem Sie eine Überwachungsrichtlinieneinstellung konfiguriert haben, können Sie die Überwachung für bestimmte Objekte konfigurieren, z. B. Benutzer, Computer, Organisationseinheiten oder Gruppen, indem Sie sowohl die Zugriffstypen als auch die Benutzer angeben, deren Zugriff Sie überwachen möchten. So konfigurieren Sie die Überwachung für bestimmte Active Directory-Objekte:

  1. Wählen Sie "Verwaltungstools für Programme>starten>" und dann Active Directory-Benutzer und -Computer aus.

  2. Stellen Sie sicher, dass Sie im Menü "Ansicht" die Option "Erweiterte Features" auswählen.

  3. Klicken Sie mit der rechten Maustaste auf das Active Directory-Objekt, das Sie überwachen möchten, und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

  5. Wählen Sie die Registerkarte "Überwachung" und dann "Hinzufügen" aus.

  6. Führen Sie eine der folgenden Aktionen aus:

    • Geben Sie den Namen des Benutzers oder der Gruppe ein, deren Zugriff Sie im Feld "Objektnamen eingeben" überwachen möchten, und wählen Sie dann "OK" aus.
    • Doppelklicken Sie in der Liste der Namen entweder auf den Benutzer oder auf die Gruppe, deren Zugriff Sie überwachen möchten.

  7. Aktivieren Sie entweder das Kontrollkästchen "Erfolgreich " oder "Fehlgeschlagen " für die Aktionen, die Sie überwachen möchten, und wählen Sie dann "OK" aus.

  8. Wählen Sie "OK" und dann "OK" aus.

Problembehandlung

Die Größe des Sicherheitsprotokolls ist begrenzt. Aufgrund dieser Einschränkung empfiehlt Microsoft, die Dateien und ordner, die Sie überwachen möchten, sorgfältig auszuwählen. Berücksichtigen Sie auch den Speicherplatz, den Sie dem Sicherheitsprotokoll zuwenden möchten. Die maximale Größe wird in Ereignisanzeige definiert.