Änderungen an Benutzerkonten im Ereignisprotokoll
finden - Windows Server 2003
Gerade in größeren Installationen mit mehreren
Administratoren oder bei der Vergabe von temporären Administrationsrechten ist
es sinnvoll, eine Änderung an den Benutzerkonten nachvollziehen zu können.
Hierzu ist folgende Liste für die Ereigniskennungen der Kontenverwaltung
gedacht.
Sie finden diese Ereignisse im Sicherheitsprotokoll der
Ereignisanzeige.
Sie können auch auf das Sicherheitsprotokoll folgenden Filter
anwenden :
Quelle : Security
Kategorie : Kontenverwaltung
|
|
|
Erzeugt |
Geändert |
Gelöscht |
Mitglied
hinzugefügt |
Gelöscht |
Benutzer |
|
|
624 |
642 |
630 |
|
|
Computer |
|
|
645 |
648 |
647 |
|
|
Gruppen |
Sicherheit |
lokal |
635 |
641 |
638 |
636 |
637 |
|
|
global |
631 |
639 |
634 |
632 |
633 |
|
|
universal |
658 |
659 |
662 |
660 |
661 |
|
Verteilung |
lokal |
648 |
649 |
652 |
650 |
651 |
|
|
global |
653 |
654 |
657 |
655 |
656 |
|
|
universal |
663 |
664 |
667 |
665 |
666 |
Zusätzlich hier einige der wichtigsten Ereigniskennungen in
Windows-Systemen
512 |
Windows wird gestartet. |
513 |
Windows wird heruntergefahren. |
514 |
Ein Authentifizierungspaket
wurde von der lokalen Sicherheitsinstanz geladen. |
515 |
Ein vertrauenswürdiger
Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert. |
516 |
Die für die Überwachung
reservierten internen Ressourcen sind ausgelastet. Dies wird zu einem
Verlust von Überwachungsereignissen führen. |
517 |
Das Überwachungsprotokoll wurde
gelöscht. |
518 |
Ein Benachrichtigungspaket
wurde von der Sicherheitskontenverwaltung (Security Accounts Manager,
SAM) geladen. |
519 |
Ein Prozess verwendet einen
ungültigen Port für den lokalen Prozeduraufruf (Local Procedure Call,
LPC), um die Identität eines Clients anzunehmen und zu antworten oder
von einem Clientadressbereich zu lesen bzw. in diesen zu schreiben.
|
520 |
Die Systemzeit wurde geändert.
Hinweis
Diese Überwachung wird normalerweise zwei Mal durchgeführt |
528 |
Erfolgreiche Anmeldung |
529 |
Anmelderfehler : unbekannter Benutzername oder
falsches Kennwort |
Weitere Informationen finden Sie u.A. in :
Konradin-Verlag / Windows ITPro / Ausgabe 6/2006 / Seite 32 ff
Microsoft Technet / Systemereignisse überwachen
|