Windows Server 2019 - Überprüfen, welcher menschliche Benutzer einen Dienst neu startet

tag-icon tag-icon service windows-server-2019 audit eventviewer
Windows Server 2019 - Überprüfen, welcher menschliche Benutzer einen Dienst neu startet

Es wird versucht zu prüfen, welcher AD-Benutzer einen bestimmten Dienst tatsächlich neu startet.
Der Dienst (MyService) verwendet ein Dienstkonto, um verschiedene Ressourcen auszuführen und darauf zuzugreifen.

Ich möchte prüfen, wann mein Benutzer oder ein anderer tatsächlicher menschlicher Benutzer den Dienst manuell startet/stoppt/neu startet, und diese Informationen in einem „Ereignis“ in der Ereignisanzeige abrufen können, um später eine Warnmeldung oder eine gefilterte Ansicht einzurichten und zu sehen, wer den Betriebszustand des Dienstes wann geändert hat.

Ich habe diese Anweisungen gefunden, die sehr detailliert zu sein scheinen:
https://support.qlik.com/articles/000058520

Auf dem Server (Windows Server 2019) selbst (also nicht über ein GPO):

  1. MMC > Sicherheitsvorlagen > C:\Benutzer$USER\Dokumente\Sicherheit\Vorlagen
    1.1 „Neue Vorlage“ > „MyServiceSecurityTemplate“
    1.2 „MyServiceSecurityTemplate“ > „Systemdienste“ > „MyService“ > „Eigenschaften“
    1.3
    „Diese Richtlinieneinstellung in der Vorlage definieren“ = Aktiviert
    „Dienststartmodus auswählen: Automatisch“
    ^ D. h. der Dienst sollte immer mit dem Server starten, sodass wir nur steuern, wie der Dienst startet, ODER bezieht es sich darauf, welche Dienststartereignisse protokolliert werden?
    D. h. dass nur protokolliert wird, wenn der Dienst automatisch gestartet wurde und NICHT, wenn er manuell gestoppt/gestartet/neu gestartet wird?
    1.4 „Sicherheit bearbeiten“ > „Erweitert“ > „Überwachung“ > „Hinzufügen“ >
    „Prinzipal: „
    „Typ: Erfolg“
    „Grundlegende Berechtigungen: Starten, Stoppen und Anhalten“
    „OK“ > „Übernehmen“ > „OK“ > „Übernehmen“ > „OK“ > „OK“ > Eingabeaufforderung:
    „Sicherheitsrichtlinie. Sie sind dabei, die Sicherheitseinstellungen für diesen Dienst zu ändern... Möchten Sie fortfahren?“ >
    „Ja“ > „Übernehmen“ > „OK“

  2. Lokaler Gruppenrichtlinien-Editor > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Systemüberwachungsrichtlinien – Lokales Gruppenrichtlinienobjekt > Objektzugriff:
    „Handle-Manipulation überwachen“ und „Zugriffsereignisse anderer Objekte überwachen“ > „Eigenschaften“
    „Zu überwachende ausgewählte Ereignisse konfigurieren:
    Alle erfolgreich überwachen“ > „Übernehmen“ > „OK“

  3. EventViewer > Windows-Protokolle > Sicherheit:
    Filter für EventID 4656

Für diesen Filter wurden keine Ereignisse gefunden....

Warum das?

verwandte Informationen