Audit-Berichte zu Benutzeranmeldungen in Echtzeit

• Bericht zu fehlgeschlagenen Anmeldungen
• Anmeldungsaktivität bei Domänencontrollern
• Anmeldungsaktivität bei Mitglieds-Servern
• Anmeldungsaktivität bei Workstations
• Benutzeranmeldeaktivitäten
• Letzte Nutzeranmeldungsaktivität
• Letzte Anmeldung an Workstations
• An mehreren Computern angemeldete Nutzer
• RADIUS-Anmeldung an Computern

Bericht zu fehlgeschlagenen Anmeldungen

Der Echtzeit-Bericht über fehlgeschlagene Anmeldungen liefert Informationen über gescheiterte Anmeldeversuche und deren Ursachen in einem bestimmten Zeitraum. Wiederholte Fehlschläge von Anmeldungen an Benutzerkonten im gewünschten Zeitraum werden gemeldet. Dadurch erhalten Administratoren wichtige Informationen über mögliche Angriffe auf nachlässig abgesicherte Konten. Es werden Informationen über die fehlgeschlagene Anmeldung inklusive Zeitpunkt, das betroffene Konto und die möglichen Gründe für den Fehlschlag gemeldet.

Angaben wie „falscher Benutzername“ oder „falsches Kennwort“ können auf Versuche hindeuten, dass jemand versucht hat, sich illegalen Zugriff auf ein Konto zu verschaffen. Gründe wie „Kennwort abgelaufen“, „Konto deaktiviert/abgelaufen/gesperrt“ oder Aufforderungen zum Zurücksetzen des Kennwortes, die der Aufmerksamkeit des Administrators bedürfen, werden so nicht mehr übersehen. Auch zusätzliche und nützliche Informationen wie „Workstation-/Anmeldungszeitbeschränkung“, „Neues Computerkonto noch nicht repliziert“, „Computer-Betriebssystem vor Windows 2000“ oder „Workstation-Zeit nicht mit Domänencontroller-Zeit synchron“ werden gemeldet.

Eine grafische Darstellung von fehlgeschlagenen Anmeldungen und deren Ursache hilft Administratoren, rechtzeitig Entscheidungen zu treffen und die erforderlichen Schritte einzuleiten.

Anmeldungsaktivität bei Domänencontrollern

Domänencontroller sind zentrale Active-Directory-Komponenten, die zahlreiche AD-Änderungen auslösen können. Daher ist die Anmeldung an Domänencontrollern privilegierten Benutzern oder Anwendern mit Administratorrechten vorbehalten. Angaben zu Anmeldungsversuchen durch andere Anwender liefern wichtige Informationen zu Versuchen, sich unberechtigt Zugang zu verschaffen. ADAudit Plus liefert Informationen zu allen Anwendern, die sich an einem beliebigen Domänencontroller angemeldet oder dies versucht haben. Details wie der Zeitpunkt und Ursprung der Anmeldung (Computername), der Anmeldeerfolg oder Anmeldefehlschlag sowie der Grund für eine fehlgeschlagene Anmeldung werden gemeldet.

Anmeldeaktivität an Member-Servern und Workstations

Angaben zur Anmeldeaktivität an Member-Servern und Workstations liefern Informationen zu Benutzeranmeldungen an ausgewählten Member-Servern oder Workstations. Dieser Bericht sowie der verwandte Bericht „Domain Controller Logon Activity“- sorgen für schnelle, übersichtliche und leicht verständliche Informationen.

Benutzeranmeldeaktivität

Der Benutzeranmeldebericht liefert Informationen zum vollständigen Anmeldungsverlauf an Servern oder Workstations, die von einem bestimmten Domänenbenutzer aufgerufen wurden. Der Benutzerobjekt-Anmeldeverlauf ist zum Verständnis des Anmeldeverhaltens eines bestimmten Benutzers sehr wichtig und erweist sich auch bei anderen Gelegenheiten als sehr nützlich, bei denen zum Beispiel Auditoren/Managern Nachweise vorgelegt werden müssen.

Letzte Benutzeranmeldeaktivität

Systemadministratoren sollten Unregelmäßigkeiten bei der Netzwerknutzung durch Anwender und andere Mitarbeiter grundsätzlich im Auge behalten. Fehlgeschlagene Anmeldeversuche können dabei wichtige Anhaltspunkte liefern. Der Bericht „Recent User Logon Activity“ von ADAudit Plus listet alle erfolgreichen und fehlgeschlagenen Benutzeranmeldeaktivitäten in einem beliebigen Zeitrahmen auf. Zusätzlich werden auch Ursachen von fehlgeschlagenen Anmeldungen angegeben, die eine wichtige Grundlage für Korrekturmaßnahmen bilden können.

Mit diesem Bericht lassen sich erfolgreiche Netzwerkanmeldungen an einem bestimmten Tag oder in einem bestimmten Zeitraum in einer übersichtlichen Listendarstellung abrufen.

Letzte Anmeldung an Workstations

Dieser Bericht informiert über den Zeitpunkt der letzten Anmeldung an Workstations oder Computern durch alle Benutzer, die sich an einem Tag erfolgreich angemeldet haben. Der Bericht lässt sich auch verwenden, um die Abwesenheit oder Anwesenheit der Anwender im Unternehmen zu dokumentieren. Auch die letzte fehlgeschlagene Workstation-Anmeldung kann abgerufen werden.

An mehreren Computern angemeldete Benutzer

Windows Active Directory ermöglicht Domänenbenutzern, sich gleichzeitig an mehreren Computern anzumelden. Administratoren, Auditoren und Manager benötigen leistungsfähige Werkzeuge, um solche Anmeldungen aufspüren zu können, damit Ressourcen wie erwünscht genutzt werden.

Der Bericht „Users logged into multiple computers“ liefert die letzten Anmeldedaten von Anwendern, die sich innerhalb eines bestimmten Zeitraums an mehreren Computern angemeldet haben. Der Bericht dient auch als Referenz bei der Überprüfung von Benutzern, die sich an mehreren Computern angemeldet haben.

RADIUS-Anmeldung an Computern überwachen

Überwachen Sie den RADIUS-Netzwerkzugriff (Remote Authentication Dial-In User Service) über externe Computer. Mit Berichten zu extern angemeldeten Benutzern überwachen Sie fehlgeschlagene RADIUS-Anmeldungen (NPS), den RADIUS-Anmeldungsverlauf (NPS) und die gesamte RADIUS-Authentifizierung in Active Directory. Bitte beachten Sie, dass derzeit nur RADIUS-Anmeldeaktivitäten per NPS (Network Policy Server, Windows Server 2008) unterstützt werden.