GPO Login tracker

Wat heb je zelf al gevonden via Google?

Naar mijn weten bestaat zo'n functie niet. Je kan wel auditing aanzetten op wie inlogt en of dat succesvol was of niet.

Maar vult iedereen bij jullie dan netjes de Shutdown Event Tracker in? Mijn ervaring is vaak dat mensen maar iets klikken om van dat ding af te zijn.

Ik heb ooit bij een klant gezien, dat ze in het destijds nog "all users" startmenu startup folder een link hadden gezet die notepad start met een server logboek.
Als iemand inlogt, wordt het server logboek geopend, en de admin beschrijven wat er gaat gebeuren.
Dat icoontje naar notepad log.txt kun je met GPP maken.

[ Voor 9% gewijzigd door Semt-x op 11-10-2012 11:24 ]

Verwijderd schreef op donderdag 11 oktober 2012 @ 08:54:
Vraag: Er is mij gevraagd na te denken over de mogelijkheid om een reden van inloggen op te geven.

Waarom zou je dat willen weten? Het lijkt mij behoorlijk nutteloos namelijk. In de security logging wordt al bijgehouden wie aanlogt op een systeem.

Bovendien kan ik configuratiewijzigingen ook op afstand doorvoeren door simpelweg via een MMC snap-in remote te verbinden (of via Powershell remote).

Oftwel: wat wil men ermee?

Question Mark schreef op donderdag 11 oktober 2012 @ 15:40:
[...]

Waarom zou je dat willen weten? Het lijkt mij behoorlijk nutteloos namelijk. In de security logging wordt al bijgehouden wie aanlogt op een systeem.

Bovendien kan ik configuratiewijzigingen ook op afstand doorvoeren door simpelweg via een MMC snap-in remote te verbinden (of via Powershell remote).

Oftwel: wat wil men ermee?

Volgens mij is hij best duidelijk. Hij wil niet zien WIE er inlogd maar WAAROM en moeten ze dus de mogelijkheid krijgen dit in te vullen bij het inloggen.

Je zou d.m.v. het logon script een kleine simpele front-end applicatie kunnen aanroepen (zelf even maken, eventueel met access?) die de gegevens logt in een database.

chaoscontrol schreef op donderdag 11 oktober 2012 @ 17:02:
[...]

Volgens mij is hij best duidelijk. Hij wil niet zien WIE er inlogd maar WAAROM en moeten ze dus de mogelijkheid krijgen dit in te vullen bij het inloggen.

Dat snap ik, maar ik probeer te begrijpen waarom TS dat wilt weten...

Ik heb nl. het idee dat men dit wil zodat inzichtelijk wordt wie configuratie aanpassingen doorvoert op een systeem. Dan is dit echter niet een goede methode. Daarom probeer ik te achterhalen waarom je dit zou willen weten..

Changes bijhouden in Topdesk?

Question Mark schreef op donderdag 11 oktober 2012 @ 18:46:
[...]
Dat snap ik, maar ik probeer te begrijpen waarom TS dat wilt weten...

Ik heb nl. het idee dat men dit wil zodat inzichtelijk wordt wie configuratie aanpassingen doorvoert op een systeem. Dan is dit echter niet een goede methode. Daarom probeer ik te achterhalen waarom je dit zou willen weten..

Mocht het nu zo zijn dat hij dit inderdaad wil zodat er geregistreerd word wie wat aanpast, wat denk jij dan dat de goede methode is?

Nu ben ik nieuwsgierig

chaoscontrol schreef op vrijdag 12 oktober 2012 @ 12:33:
[...]

Mocht het nu zo zijn dat hij dit inderdaad wil zodat er geregistreerd word wie wat aanpast, wat denk jij dan dat de goede methode is?

Nu ben ik nieuwsgierig

Auditing en applicatie logging bijvoorbeeld. Een door de gebruiker of beheerder min of meer vrijwillig in te vullen schermpje al voor het aanloggen heeft imho als auditing geen enkele zin omdat het ingevulde vrijwel nooit volledig zal zijn en vaak als last zal worden ervaren.

Voor zover ik weet zijn er geen kant en klare oplossingen, zeker niet binnen de huidige standaard GPO settings, die dit soort dingen mogelijk maken. Reden zal zijn dat er maar erg weinig nut voor is.

chaoscontrol schreef op vrijdag 12 oktober 2012 @ 12:33:
[...]

Mocht het nu zo zijn dat hij dit inderdaad wil zodat er geregistreerd word wie wat aanpast, wat denk jij dan dat de goede methode is?

Een goed ingericht changeprocess, en alle changes met bijzonderheden centraal bijhouden...

Ik sluit me aan bij de eerdere vraag: waarom? En dan voornamelijk de achterliggende gedachten. Wat wil je er precies mee gaan bereiken? Bij de shutdown even tracker ken ik genoeg mensen die even een spatie of puntje erin gooien om van de vraag af te zijn. Natuurlijk hangt dit samen met een bepaalde mentaliteit/discipline/procedure maar je moet wel weten wat je nu in de praktijk wilt bereiken met een technische oplossing.

Een optie zou kunnen zijn een schermvullende app (of script, maar ik geloof dat scripts dat niet meer kunnen zijn tegenwoordig) die na het inloggen start, en niet weggeklikt kan worden zonder iets in te vullen. Je dwingt het hier wellicht niet 100% mee af (ligt een beetje aan hoe je het schrijft/maakt, "on top" met een fullscreen applicatie is voor de meeste gebruikers al vrij dwingend) maar het doet in ieder geval wat je wil.

Standaard is in Windows geen mogelijkheid om dit te doen.

Eagle Creek schreef op vrijdag 12 oktober 2012 @ 12:56:
Een optie zou kunnen zijn een schermvullende app (of script, maar ik geloof dat scripts dat niet meer kunnen zijn tegenwoordig) die na het inloggen start, en niet weggeklikt kan worden zonder iets in te vullen. Je dwingt het hier wellicht niet 100% mee af (ligt een beetje aan hoe je het schrijft/maakt, "on top" met een fullscreen applicatie is voor de meeste gebruikers al vrij dwingend) maar het doet in ieder geval wat je wil.

Ook al forceer je het op die manier; wat heb je er aan? Het is niet waterdicht, mensen zijn van nature lui en een melding die bv zal worden ingevoerd als "controle systeem" of weet ik wat zijn totaal niet nuttig. Een shutdown tracker treed ook alleen op bij een enkele taak, een shutdown of reboot van een systeem. Dat zegt totaal niets over de de zaken die je tijdens de hele sessie voor het afsluiten hebt gedaan. Juridisch gezien lijkt het opgeven van een reden mij ook nog eens totaal niet nuttig.

Wijzingen bijhouden met System Center Configuration Manager Desired Configuration Management ofzo?
Het voordeel van DSM is, dat je automatisch de veranderingen weer kunt terugzetten met automatic remediation.

Maar de noodzaak van een login tracker zie ik niet zo dat je een reden op moet gegeven waarom je inlogt.Je bent beheerder van de server, dus als je inlogt heb je een reden om in te loggen. En tevens als ik inlog en ik moet een reden opgegeven dat vul ik gewoon bla bla bla in.

Ik zou eerder zeggen van: er mag alleen worden ingelogd worden als er een service management ticket is (incident/change/problem).

[ Voor 86% gewijzigd door Turdie op 12-10-2012 18:07 ]