Gewusst wie: von der Computer eines angemeldeten Benutzers ermitteln

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 175062 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Methoden zur Verfügung, aus dem System ein Benutzer angemeldet zu identifizieren. Sie können eine oder mehrere der folgenden Methoden auswählen:

  • Überwachen von Windows NT

    -oder-
  • Microsoft Netzwerkmonitor (oder anderen Netzwerk-Ablaufverfolgung-Dienstprogramm)

    -oder-
  • Mithilfe der WINS (Windows Internet Naming Service)-Datenbank

    -oder-
  • In der Tabelle Remote NetBIOS-Namenzwischenspeicher

Weitere Informationen

Überwachen von Windows NT

Um aus dem System ein Benutzer mit der Überwachung von Windows NT angemeldet festzustellen, führen Sie die folgenden Schritte aus:

  1. Starten Sie den Benutzer-Manager für Domänen.
  2. Klicken Sie im Richtlinien auf überwachen.
  3. Erfolgreich für die Anmelde- und Abmeldeskripts Kategorie aktivieren klicken. Wahlweise, können Sie auch das Kontrollkästchen Fehler auswählen.
Nachdem der oben aufgeführten Prozedur implementiert wurde, wird Windows NT auf Versuch ein Ereignisprotokoll für jeder erfolgreichen Anmeldung erstellt. Wie im folgenden Beispiel wird das Protokoll angezeigt:

   Date:     10/13/97  Event ID:  528
   Time:     10:32:11 AM  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0, 0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2
				

Netzwerkmonitor

Um aus dem System ein Benutzer angemeldet, mit dem Netzwerkmonitor festzustellen, führen Sie die folgenden Schritte aus:
  1. Erfassen Sie jeglichen eingehenden Datenverkehr zu den Domänencontroller(n). Um die Größe der gesammelten Daten zu reduzieren:

    • Wenn möglich, enthalten Sie nur die primäre oder Sicherungsdomänencontroller, die am wahrscheinlichsten zum Überprüfen der Eindringling.
    • Setzen Sie einen Capture-Filter, einschließlich nur das Server Message Block (SMB)-Protokoll.
    • Konfigurieren Sie einen Arbeitsspeicherpuffer groß genug über die Einstellungen Option im Menü sammeln.
  2. Nachdem die Daten erfasst wurden, richten Sie einen Anzeigefilter zur nur enthalten:

    Protokoll: SMB
    Eigenschaft: Kontoname
    Beziehung: vorhanden
Dies zeigt alle der SMB-Sitzung Erstinstallation mit dem Benutzernamen und Quelle MAC-Adresse.

Beispiel:
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IPC$

Im obigen Beispiel ist WKS1 der Computer, in denen der Benutzer wird aus anmelden, SUNKING ist der Domänencontroller die Anforderung authentifiziert und die Beschreibung enthält die Windows NT-Domänenkonto verwendet wird.

Hinweis: Die MAC-Quelladresse möglicherweise auch wurde ein Media access Control oder IP-Adresse Wenn der NetBIOS-Name nicht aufgelöst werden konnte oder der Eintrag nicht in der Netzwerkmonitor Adressdatenbank ist angezeigt.

Mithilfe der WINS-Datenbank

Um aus dem System ein Benutzer angemeldet mithilfe der WINS-Datenbank festzustellen, führen Sie die folgenden Schritte aus:

  1. Starten Sie den WINS-Manager.
  2. Klicken Sie im Menü Zuordnungen Show Database auf.
  3. Klicken Sie auf Filter festlegen, und geben den Benutzerkontonamen in den Computer Name Kriterien und klicken Sie auf OK.
  4. In der Liste Zuordnungen ordnet der Eintrag mit der Benutzerkontoname und der 03 h-Bezeichner die IP-Adresse der Arbeitsstation, aus denen sich der Benutzer an der Domäne angemeldet.

Mithilfe von NetBIOS Remote-Namentabelle

Um ein Benutzer über NetBIOS Remote-Namentabelle aus dem System angemeldet zu ermitteln, führen Sie die folgenden Schritte aus:

  1. Geben Sie von einer MS-DOS-Eingabeaufforderung die folgenden und drücken Sie dann die EINGABETASTE.

    net Send < benutzername > "Textnachricht"

    <wobei benutzername > ist das Benutzerkonto für den Benutzer, die Sie suchen möchten.
  2. Geben Sie Folgendes ein, und dann drücken Sie EINGABETASTE.

    Nbtstat ? c
  3. Wie im Beispiel unter Verwendung der WINS-Datenbank der Benutzername des gefunden, die wird zugeordnet sind, den 03 h-Bezeichner und die entsprechenden IP-Adresse der Arbeitsstation.
Weitere Informationen finden Sie in folgenden Artikeln der Microsoft Knowledge Base:

Artikel-ID: 157238
Titel: How to Security-Ereignisprotokollierung in Windows NT 4.0 aktivieren

Artikel-ID: 173939
Titel: So identifizieren Sie Benutzer, das Administratorkennwort geändert

Artikel-ID: 140714
Titel: Besondere Windows NT überwachen Ereignis Datensätze

Eigenschaften

Artikel-ID: 175062 - Geändert am: Dienstag, 31. Oktober 2006 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbmt KB175062 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 175062
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com