Überwachen von Active Directory-Objekten in Windows Server 2003

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie die Windows Server 2003-Überwachung verwenden, um Benutzeraktivitäten und systemweite Ereignisse in Active Directory nachzuverfolgen.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 814595

Zusammenfassung

Sie können die Windows Server 2003-Überwachung verwenden, um sowohl Benutzeraktivitäten als auch Windows Server 2003-Aktivitäten, bei denen es sich um benannte Ereignisse handelt, auf einem Computer nachzuverfolgen. Wenn Sie die Überwachung verwenden, können Sie angeben, welche Ereignisse in das Sicherheitsprotokoll geschrieben werden. Beispielsweise kann das Sicherheitsprotokoll sowohl gültige als auch ungültige Anmeldeversuche und Ereignisse aufzeichnen, die sich auf das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten beziehen. Ein Überwachungseintrag im Sicherheitsprotokoll enthält die folgenden Informationen:

• Die aktion, die ausgeführt wird.
• Der Benutzer, der die Aktion ausgeführt hat.
• Der Erfolg oder Fehler des Ereignisses und der Zeitpunkt, zu dem das Ereignis aufgetreten ist.

Eine Überwachungsrichtlinieneinstellung definiert die Kategorien von Ereignissen, die Windows Server 2003 im Sicherheitsprotokoll auf jedem Computer protokolliert. Das Sicherheitsprotokoll ermöglicht es Ihnen, die von Ihnen angegebenen Ereignisse nachzuverfolgen.

Wenn Sie Active Directory-Ereignisse überwachen, schreibt Windows Server 2003 ein Ereignis in das Sicherheitsprotokoll auf dem Domänencontroller. Beispielsweise versucht ein Benutzer, sich mit einem Domänenbenutzerkonto bei der Domäne anzumelden. Wenn der Anmeldeversuch nicht erfolgreich ist, wird das Ereignis auf dem Domänencontroller und nicht auf dem Computer aufgezeichnet, auf dem der Anmeldeversuch durchgeführt wurde. Dieses Verhalten tritt auf, weil der Domänencontroller versucht hat, den Anmeldeversuch zu authentifizieren, dies aber nicht konnte.

Verwenden Sie Ereignisanzeige, um Ereignisse anzuzeigen, die Windows Server 2003 im Sicherheitsprotokoll protokolliert. Sie können auch Protokolldateien archivieren, um Trends im Laufe der Zeit nachzuverfolgen. Beispielsweise möchten Sie die Verwendung von Druckern oder Dateien bestimmen oder die Verwendung nicht autorisierter Ressourcen überprüfen.

So aktivieren Sie die Überwachung von Active Directory-Objekten:

• Konfigurieren Sie eine Überwachungsrichtlinieneinstellung für einen Domänencontroller. Wenn Sie eine Überwachungsrichtlinieneinstellung konfigurieren, können Sie Objekte überwachen, aber nicht das Objekt angeben, das Sie überwachen möchten.
• Konfigurieren Sie die Überwachung für bestimmte Active Directory-Objekte. Nachdem Sie die Ereignisse angegeben haben, die für Dateien, Ordner, Drucker und Active Directory-Objekte überwacht werden sollen, verfolgt Und protokolliert Windows Server 2003 diese Ereignisse.

Konfigurieren einer Überwachungsrichtlinieneinstellung für einen Domänencontroller

Standardmäßig ist die Überwachung deaktiviert. Für Domänencontroller wird eine Überwachungsrichtlinieneinstellung für alle Domänencontroller in der Domäne konfiguriert. Um Ereignisse zu überwachen, die auf Domänencontrollern auftreten, konfigurieren Sie eine Überwachungsrichtlinieneinstellung, die für alle Domänencontroller in einem nicht lokalen Gruppenrichtlinie-Objekt (GPO) für die Domäne gilt. Sie können auf diese Richtlinieneinstellung über die Organisationseinheit Domänencontroller zugreifen. Um den Benutzerzugriff auf Active Directory-Objekte zu überwachen, konfigurieren Sie die Ereigniskategorie Überwachen des Verzeichnisdienstzugriffs in der Überwachungsrichtlinieneinstellung.

So konfigurieren Sie eine Überwachungsrichtlinieneinstellung für einen Domänencontroller:

1. Wählen SieProgramme>starten>Verwaltungstools und dann Active Directory-Benutzer und -Computer aus.

2. Wählen Sie im Menü Ansichtdie Option Erweiterte Features aus.

3. Klicken Sie mit der rechten Maustaste auf Domänencontroller, und wählen Sie dann Eigenschaften aus.

4. Wählen Sie die Registerkarte Gruppenrichtlinie aus, wählen Sie Standarddomänencontrollerrichtlinie und dann Bearbeiten aus.

5. Wählen Sie Computerkonfiguration aus, doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Sicherheitseinstellungen, doppelklicken Sie auf Lokale Richtlinien, und doppelklicken Sie dann auf Überwachungsrichtlinie.

6. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Zugriff auf Verzeichnisdienste überwachen, und wählen Sie dann Eigenschaften aus.

7. Wählen Sie Diese Richtlinieneinstellungen definieren aus, und aktivieren Sie dann eines oder beide der folgenden Kontrollkästchen:

   • Erfolg: Aktivieren Sie dieses Kontrollkästchen, um erfolgreiche Versuche für die Ereigniskategorie zu überwachen.
   • Fehler: Aktivieren Sie dieses Kontrollkästchen, um fehlgeschlagene Versuche für die Ereigniskategorie zu überwachen.

8. Klicken Sie mit der rechten Maustaste auf eine andere Ereigniskategorie, die Sie überwachen möchten, und wählen Sie dann Eigenschaften aus.

9. Wählen Sie OK aus.

10. Die Änderungen, die Sie an der Überwachungsrichtlinieneinstellung Ihres Computers vornehmen, werden nur wirksam, wenn die Richtlinieneinstellung weitergegeben oder auf Ihren Computer angewendet wird. Führen Sie einen der folgenden Schritte aus, um die Richtlinienweitergabe zu initiieren:

    • Geben Sie gpupdate /Target:computer an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.
    • Warten Sie auf die automatische Richtlinienweitergabe, die in regelmäßigen Abständen erfolgt, die Sie konfigurieren können. Standardmäßig erfolgt die Richtlinienweitergabe alle fünf Minuten.

11. Öffnen Sie das Sicherheitsprotokoll, um protokollierte Ereignisse anzuzeigen.

    Hinweis

    Wenn Sie eine Domäne oder ein Unternehmensadministrator sind, können Sie die Sicherheitsüberwachung für Arbeitsstationen, Mitgliedsserver und Domänencontroller remote aktivieren.

Konfigurieren der Überwachung für bestimmte Active Directory-Objekte

Nachdem Sie eine Überwachungsrichtlinieneinstellung konfiguriert haben, können Sie die Überwachung für bestimmte Objekte wie Benutzer, Computer, Organisationseinheiten oder Gruppen konfigurieren, indem Sie sowohl die Zugriffstypen als auch die Benutzer angeben, deren Zugriff Sie überwachen möchten. So konfigurieren Sie die Überwachung für bestimmte Active Directory-Objekte:

1. Wählen SieProgramme>starten>Verwaltungstools und dann Active Directory-Benutzer und -Computer aus.

2. Stellen Sie sicher, dass Sie im Menü Ansicht die Option Erweiterte Features auswählen.

3. Klicken Sie mit der rechten Maustaste auf das Active Directory-Objekt, das Sie überwachen möchten, und wählen Sie dann Eigenschaften aus.

4. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

5. Wählen Sie die Registerkarte Überwachung und dann Hinzufügen aus.

6. Führen Sie eine oder mehrere der folgenden Aktionen aus:

   • Geben Sie den Namen des Benutzers oder der Gruppe, dessen Zugriff Sie überwachen möchten, in das Feld Geben Sie den auszuwählenden Objektnamen ein, und wählen Sie dann OK aus.
   • Doppelklicken Sie in der Liste der Namen entweder auf den Benutzer oder die Gruppe, dessen Zugriff Sie überwachen möchten.

7. Aktivieren Sie entweder das Kontrollkästchen Erfolgreich oder Fehler für die Aktionen, die Sie überwachen möchten, und wählen Sie dann OK aus.

8. Wählen Sie OK und dann OK aus.

Troubleshooting

Die Größe des Sicherheitsprotokolls ist begrenzt. Aufgrund dieser Einschränkung empfiehlt Microsoft, die Dateien und Ordner, die Sie überwachen möchten, sorgfältig auszuwählen. Berücksichtigen Sie auch den Speicherplatz, den Sie dem Sicherheitsprotokoll zuwenden möchten. Die maximale Größe wird in Ereignisanzeige definiert.