Ereignisse protokollieren

Active Directory effizient überwachen und Probleme erkennen

Wer Active Directory einsetzt, sollte die Überwachung des Verzeichnisdienstes aktivieren. Über Ereignisanzeigen kann man überprüfen, ob Probleme oder gar Einbruchsversuche vorliegen. Windows Server 2008 R2 bietet hierfür Überwachungsrichtlinien, die Admins aber erst konfigurieren müssen.

Die Richtlinien lassen sich über Gruppenrichtlinien konfigurieren und direkt Domänencontrollern oder Arbeitsstationen und Servern zuweisen. Entweder bearbeiten Sie dazu die Default Domain Controller Policy, oder Sie erstellen eine neue Richtlinie und weisen diese den Domänencontrollern zu.

In der Richtlinie konfigurieren Sie die zu überwachenden Ereignisse. Die Daten schreiben Server in die Ereignisanzeige. Diese müssen Sie allerdings filtern oder einsammeln und entsprechend konfigurieren.

Richtlinieneinstellungen für die Überwachung von Active Directory

Die Einstellungen für die Überwachung finden Sie in Richtlinien im Bereich Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien. Aktivieren Sie die Option Objektzugriffsversuche überwachen. Nach der Aktivierung müssen Sie noch auswählen, ob Sie erfolgreiche und/oder fehlgeschlagene Zugriffsversuche protokollieren wollen.

Wichtig bei der Überwachung des Active Directory sind die Anmeldungen. Dazu aktivieren Sie die Richtlinie Anmeldeereignisse überwachen. Diese überwacht Anmeldungen an den Domänencontrollern. Damit dies auch bei Arbeitsstationen und Mitgliedsservern klappt, müssen Sie eine Gruppenrichtlinie erstellen und mit allen Computern verknüpfen.

Nach Aktivierung der Überwachung finden Sie die entsprechenden Informationen in der Ereignisanzeige über Windows-Protokolle\Sicherheit.

Die Richtlinieneinstellung Anmeldeversuche überwachen protokolliert auch die Anmeldungen an Arbeitsstationen und Mitgliedsservern der Domäne. Diese Überwachung findet aber nur auf Domänencontrollern statt, da diese die Anmeldung von Benutzerkonten auf Mitgliedscomputern erst ermöglichen. Eine Anmeldung an einem PC ist also ein Anmeldeversuch am Active Directory, das die Domänencontroller überwacht.

Die Bearbeitung der Benutzerkonten überwachen Sie mit Kontenverwaltung überwachen. Diese überwacht das Erstellen, Ändern und Löschen von Benutzerkonten sowie das Umbenennen, Aktivieren oder Deaktivieren. Auch die Änderung von Kennwörtern steht unter Aufsicht der Richtlinie. In der Ereignisanzeige sehen Sie, zu welchem Zeitpunkt eine Änderung durchgeführt wurde und was die Änderung genau beinhaltet hat. Systemereignisse überwachen überwacht bei Domänencontrollern Aktionen wie das Herunterfahren und Änderungen des Betriebssystems.