[sbs2003] Veel aan-/afmeldingen gebruikers in logfile

Het viel me op dat de gebruikersnamen in de security logs heel erg veel aan-/afmeldingen hebben.
Dit gebeurd op de accounts: gebruiker en gebruiker$
En zelfs bij een gebruiker waarvan het account is uitgeschakeld!

Log van een gebruiker die achter elkaar aanmeld en afmeld:

Gebeurtenis 576:

Speciale bevoegdheden, toegewezen aan nieuwe aanmelding:
Gebruikersnaam: Gebruiker
Domein: DOMEIN
Aanmeldings-ID: (0x0,0x132448E2)
Bevoegdheden: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.
---------------------------------

Gebeurtenis 540:

Aanmelding op het netwerk is voltooid:
Gebruikersnaam: Gebruiker
Domein: DOMEIN
Aanmeldings-id: (0x0,0x132448E2)
Aanmeldingstype: 3
Aanmeldingsproces: Kerberos
Verificatiepakket: Kerberos
Naam van werkstation:
Aanmeldings-GUID: {b58e4392-e38e-3283-5325-dde2a3e26b9d}
Gebruikersnaam van aanroeper: -
Domein van aanroeper: -
Aanmeldings-id van aanroeper: -
Proces-id van aanroeper: -
Doorgezette services: -
Netwerkadres van bron: 192.168.100.22
Poort van bron: 53408


Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.
-------------------------

Gebeurtenis 538:

Afmelding van gebruiker:
Gebruikersnaam: Gebruiker
Domein: DOMEIN
Aanmeldings-id: (0x0,0x132448E2)
Aanmeldingstype: 3


Zie Help en ondersteuning op http://go.microsoft.com/fwlink/events.asp voor meer informatie.
-------------------------

Dit herhaalt zich steeds achter elkaar.
Nu vraag ik me dus af of dit normaal is?

Heb zitten zoeken tot ik een ons woog, maar heb hier tot op heden niets over kunnen vinden.

alt-92 schreef op dinsdag 05 januari 2010 @ 20:50:
Beter zoeken dan
Je krijgt er nota bene gratis en voor niks het IP van de desbetreffende client bij:
192.168.100.22

Om goed te begrijpen welke eventID's er gelogd worden en wat de inhoud betekent kun je gewoon in de Technet library zoeken.
http://blogs.msdn.com/eri...s-server-2003-events.aspx
http://technet.microsoft..../cc163121(en-us).aspx#EKH

Zo te zien zijn dit dus puur logs van gebruikers die in en uit loggen op en van het netwerk.
Erg vreemd aangezien de gebruikers gewoon constant op het netwerk werken.

Maar nu vraag ik me ook af, wordt dit ook gelogd als een gebruiker een netwerkshare benaderd en vervolgens ook de netwerkshare afsluit.
Of een bestand vanaf een server opent en afsluit ?

[ Voor 12% gewijzigd door DaVaRiOuS op 05-01-2010 20:56 ]

alt-92 schreef op dinsdag 05 januari 2010 @ 20:55:
En waarom denk je dat dat vreemd is?
[edit]
Ik heb het je wel eens vaker gezegd: het wordt tijd dat je dan met je neus in de boeken gaat duiken want dit is basis MCSA/MCSE spul eigenlijk wat een beetje admin hoort te kennen.

Ja. Een benadering van een resource (share, printer, whatever) is een logon actie omdat er een kerberos service ticket voor wordt gebruikt.

Ik heb hier zat boeken liggen betreffende Windows 2003/2008 (administrator's Companion), maar hier staan dat soort dingen niet in.
Maar wil je toch bedanken voor de zet in de goede richting!

[ Voor 4% gewijzigd door DaVaRiOuS op 05-01-2010 21:01 ]

alt-92 schreef op dinsdag 05 januari 2010 @ 21:04:
[...]

Die handboekjes zijn leuk, maar die gaan wel uit van een nivo van basiskennis wat je uit de ouderwetsche dikke pillen haalt.
Mag ik je aanraden om eens een Mastering Windows 2003 boek te halen bijvoorbeeld?

Nuttige video:
http://www.microsoft.com/...sessionh.aspx?videoid=995

Top bedankt!

Found them...
http://www.bol.com/nl/s/e...ex.html?_requestid=112437

Heb ik voorlopig ff wat leesvoer
Alleen jammer dat er geen algemene mastering boek is van 2008

[ Voor 4% gewijzigd door DaVaRiOuS op 05-01-2010 21:26 ]