Logon und Logoff im Detail

Windows-Praxis: An- und Abmeldung erkennen und überwachen

Anmeldung an einer Domäne

Bei der Anmeldung an einer Domäne wird aus den oben beschriebenen Gründen via Kerberos eine Anfrage an den Domänen-Controller der Domäne geschickt, an der sich der Anwender anzumelden versucht. Auf dem Domänen-Controller, der diese Anfrage bearbeitet, wird ein Authentifizierungs-Event bei den Sicherheitsereignissen eingetragen. Dabei handelt es dann um ein Ereignis mit der ID 4768/ 672 mit der Bezeichnung "A Kerberos Authentification Ticket (TGT) was requested".

Hat der Domänen-Controller die Anfrage positiv beantwortet und dem PC die Rückmeldung gegeben, dass der fragliche Nutzer authentifiziert wurde, so kann die Workstation nun damit fortfahren, die Anmeldesitzung anzulegen. Dabei wird auf diesem Client-System dann das entsprechende Anmeldeereignis mit der ID 4624/ 528 in das Ereignisprotokoll für die Sicherheit eingetragen.

Meldet sich der Benutzer des Windows-PCs mit einem Konto an, das zu einer anderen Domäne gehört, der aber von der eigenen Domäne vertraut wird, so muss der Domänen-Controller in dieser anderen Domäne die Authentifizierung durchführen. In seinem Sicherheitsprotokoll wird dann das Kerberos-Ereignis mit der ID 4769/ 672 auftauchen, wohingegen weiterhin auch in diesem Fall die ID 4624/ 528 in das entsprechende Log des Client-Rechners geschrieben wird. So kann anhand der reinen ID auf dem Client-System auch nur festgestellt werden, dass sich der Client erfolgreich authentifizieren konnte; erst ein Blick in die Ereignisanzeige und die Ereigniseigenschaften gibt dann den Namen der entsprechenden Domäne preis.

Bei allen interaktiven Anmeldeaktionen schreibt das System auch ein Ereignis mit der Bezeichnung "Benutzerinitiierte Abmeldung" und der ID 4647/ 551 in das Protokoll. Hier findet sich zudem eine hexadezimale Anmelde-ID, die ein Administrator mit der entsprechenden ID in einem Anmeldeereignis korrelieren kann und somit einen Überblick über die Sitzung des Anwenders erhält. Allerdings sind die Anmelde-IDs nur zwischen den Neustarts auf dem gleichen System eindeutig.