Ik ben al even bezig met een goede manier te vinden hoe ik makkelijk en duidelijk een audit kan zetten voor alles account logon's in een domein met meerdere servers (waaronder een terminal server cluster).
Netwerk staat uit:
- Domain controller
- Application server
- 3x terminal server in cluster
Alle servers zijn Win2k3 Sp1 waar dus standaard Audit voor account logon en logon/logout als op geactiveerd is. Dus op de DC heb ik het (uit voorzorg) nog eens extra op de domain security policy gezet en voor elke server afzonderlijk staat het in de local security policy. Omdat er doordat logon/logoff ook ingeschakeld staat een helehoop data gelogd wordt die ik eigenlijk niet nodig heb, heb ik de max grootte in eventviewer op 20 mb gezet.
Met account logon dacht ik voldoende info te hebben (op de account logoff na dan, dat is even voor later zorg), echter klopt er geen hout van naar mijn idee. Ik zie bijv. veel te weinig account logon's staan en voor sommigen weer veel teveel en als ik het even snel test dan zie ik ook voor administrator geen enkele account logon te voorschijn komen, wel een aantal logon/logoff meldingen. Zo mis ik ook voor een willekeurige domein gebruiker die in logt via TS op het cluster of de App een helehoop account logon's.
Ik denk dat dit veroorzaakt wordt omdat de credentials gecached worden en dus niet voor elke poging de DC aangesproken hoeft te worden. Echter zouden ze dan nog wel in de eventviewer van die betreffende server moeten voorkomen? En daar mis ik ze dan ook weer.
Ik ben daarom eens gaan kijken naar welke meldingen van logon/logoff ik moet kijken adhv deze link:
http://technet2.microsoft...55a079d1033.mspx?mfr=true
Het leek er even op dat ID 528 logon was en 538 logoff, echter zijn dat er veel teveel. En als ik ze dan allemaal met het handje bekijk op logon type 10, dan klopt het nog niet (aantal teveel en aantal missen).
Kortom: ik zoek gewoon een simpele manier om te kunnen zien wanneer een willekeurige gebruiker (dus ook admin's) op welke server / PC in het domein inloggen en uitloggen (uitzonderingen daar gelaten wanneer iemand de stekker uit zijn PC of terminal zou trekken en dus niet netjes af meldt).
Netwerk staat uit:
- Domain controller
- Application server
- 3x terminal server in cluster
Alle servers zijn Win2k3 Sp1 waar dus standaard Audit voor account logon en logon/logout als op geactiveerd is. Dus op de DC heb ik het (uit voorzorg) nog eens extra op de domain security policy gezet en voor elke server afzonderlijk staat het in de local security policy. Omdat er doordat logon/logoff ook ingeschakeld staat een helehoop data gelogd wordt die ik eigenlijk niet nodig heb, heb ik de max grootte in eventviewer op 20 mb gezet.
Met account logon dacht ik voldoende info te hebben (op de account logoff na dan, dat is even voor later zorg), echter klopt er geen hout van naar mijn idee. Ik zie bijv. veel te weinig account logon's staan en voor sommigen weer veel teveel en als ik het even snel test dan zie ik ook voor administrator geen enkele account logon te voorschijn komen, wel een aantal logon/logoff meldingen. Zo mis ik ook voor een willekeurige domein gebruiker die in logt via TS op het cluster of de App een helehoop account logon's.
Ik denk dat dit veroorzaakt wordt omdat de credentials gecached worden en dus niet voor elke poging de DC aangesproken hoeft te worden. Echter zouden ze dan nog wel in de eventviewer van die betreffende server moeten voorkomen? En daar mis ik ze dan ook weer.
Ik ben daarom eens gaan kijken naar welke meldingen van logon/logoff ik moet kijken adhv deze link:
http://technet2.microsoft...55a079d1033.mspx?mfr=true
Het leek er even op dat ID 528 logon was en 538 logoff, echter zijn dat er veel teveel. En als ik ze dan allemaal met het handje bekijk op logon type 10, dan klopt het nog niet (aantal teveel en aantal missen).
Kortom: ik zoek gewoon een simpele manier om te kunnen zien wanneer een willekeurige gebruiker (dus ook admin's) op welke server / PC in het domein inloggen en uitloggen (uitzonderingen daar gelaten wanneer iemand de stekker uit zijn PC of terminal zou trekken en dus niet netjes af meldt).