Windows-Praxis: An- und Abmeldung erkennen und überwachen

Unterschiede: Ereignisse auf Domänen-Controller und Workstation

Geht es um die Einordnung von Anmeldeinformationen und Authentifizierung, dann tauchen immer wieder Missverständnisse auf: Wenn sich ein Anwender mittels eines Domänen-Controllers (DC) anmeldet oder auf einen freigegebenen Ordner in der Domäne zugreift, dann meldet er sich streng genommen nicht bei der Domäne an - der DC authentifiziert den Anwender nur, legt also fest, dass dieser die richtigen Zugriffsrechte besitzt, um auf die Ressourcen in der Domäne zugreifen zu können.

Der DC ist in keinem Fall die zentrale Stelle im Windows-Netzwerk, die festhält, wer gerade irgendwo in der Domäne an irgendeiner Arbeitsstation angemeldet ist oder wann er sich wieder abgemeldet hat. Jeder Windows-Rechner verwaltet seine eigenen Anmeldesitzungen, und so protokolliert der Domänen-Controller auch nicht, ob ein Nutzer über eine Remote-Sitzung oder über eine Netzwerkfreigabe in der Domäne aktiv ist.

Administratoren, die sich die entsprechenden Ereignisprotokolle auf ihren Domänen-Controller genauer ansehen, finden dabei häufig Paare von An- und Abmeldungen, auf die direkt Ereignisse zur Authentifizierung folgen und den gleichen Nutzer betreffen. Dabei handelt es sich in der Regel um Ereignisse, die vom entsprechenden Client für die Gruppenrichtlinien auf dem lokalen System verursacht werden, der in diesen Fällen die Gruppenrichtlinien-Objekte vom Domänen-Controller herunterlädt, damit sie auf dem Client-System eingesetzt werden können. Wenn es die Systemverwalter nicht anders konfiguriert haben, holen die Windows-Systeme alle 90 Minuten die Gruppenrichtlinien vom Domänen-Controller ab und erzeugen dabei jeweils ein Netzwerk-An- und -Abmeldeereignis im Sicherheitsprotokoll des Servers. Durch diese Regelmäßigkeit werden diese Ereignisse manchmal bei forensischen Untersuchungen mit herangezogen, um eine ungefähre Vorstellung davon zu erlangen, wie lange ein Anwender wohl angemeldet gewesen ist-- immer davon ausgehend, dass diese Ereignisse mit einer zuvor stattgefundenen interaktiven oder Remote-Anmeldung des Anwenders in Einklang zu bringen sind. Für den täglichen Betrieb ist diese Methode aber in der Regel zu aufwendig und zu ungenau.