Informationen zu Ereignisprotokollen (Active Directory)

Informationen zu Ereignisprotokollen (Active Directory)

Seit kurzem können sich 3 meiner Active Directory-Administratoren nicht über RDP beim AD-Server anmelden.

Nachdem wir alles gegengeprüft hatten, stellten wir fest, dass diese 3 Benutzer zu einer Sicherheitsgruppe mit dem Namen „RDP-Zugriff verweigern“ hinzugefügt wurden. Nachdem ich Benutzer aus dieser Gruppe entfernt hatte, konnten sie sich jetzt anmelden.

  1. Ich möchte nur prüfen, ob es Protokolle gibt, die mir Informationen darüber geben können, wer diese drei Benutzer zu dieser Gruppe „RDP-Zugriff verweigern“ hinzugefügt hat?

  2. Ist diese Sicherheitsgruppe (RDP-Zugriff verweigern) die Standardgruppe oder wurde eine erstellt?

  3. Wenn eines erstellt wurde, wie kann überprüft werden, wer es erstellt hat?

Danke, Ram

Antwort1

Dies scheint keine integrierte Gruppe zu sein. Sie wurde also wahrscheinlich von jemandem erstellt und mit der Gruppenrichtlinieneinstellung verknüpft, die Benutzern den Zugriff über RDP verweigert.

So können Sie herausfinden, wer diese Gruppe erstellt hat:

  • Wenn Sie Gruppenänderungen überwachen
  • Wenn das Ereignisprotokoll das Ereignis noch enthält und nicht überschrieben wurde

Sie haben auch nicht erwähnt, ob es sich um eine Domäne oder eine lokale Gruppe handelt? Wenn es sich um eine Domänengruppe handelt, finden Sie das gesuchte Ereignis hier:

https://system32.eventsentry.com/security/event/4727

Auf dieser Seite wird Ihnen auch angezeigt, welche Überwachung aktiviert werden muss, damit dieses Ereignis überhaupt auftritt.

verwandte Informationen