Um Benutzeranmeldungen einer Active Directory Domäne überwachen zu können, muss die Ereignisanzeige durchsucht werden. Die grafische Oberfläche der Ereignisanzeige lässt mich oft verzweifeln, daher habe ich mir die Mühe gemacht PowerShell zu verwenden.

Das folgende Szenario bezieht sich auf einem Umgebung mit nur einem Domain-Controller. Wenn mehrere Domain-Controller im Einsatz sind, so müssen alle Ereignis Einträge aller Domain-Controller durchgesehen werden.

Erfolgreiche und fehlgeschlagene Anmeldeversuche können überwacht werden. Die Einstellungen sind in der Default Domain Controllers Policy definiert. Der Standard lautet: Nur Erfolg.

Ich ändere in gpmc.msc (Default Domain Controllers Policy) in Computerkonfiguration -Richtlinien – Windows Einstellungen – Sicherheitsrichtlinien – Lokale Richtlinien – Überwachungsrichtlinie – Anmeldeversuche überwachen die Einstellung auf Erfolg + Fehler.

Erfolgreiche Anmeldeversuche ID 4624

Alle Ereignisse mit ID 4624 sind erfolgreiche Anmeldeversuche. Wann hat sich Petra erfolgreich angemeldet?

Get-EventLog -LogName Security -InstanceId 4624 | Where-Object Message -match "petra" | Format-Table TimeGenerated,Message -AutoSize -Wrap

Der Anmeldetyp von Petra ist 2.

Quelle: Technet: Audit Logon Events

Fehlgeschlagene Anmeldeversuche ID 4771

Alle Ereignisse mit ID 4771 sind nicht erfolgreiche Anmeldeversuche. Wann hat Petra sich nicht erfolgreich anmelden können?

Get-EventLog -LogName Security -InstanceId 4771 | Where-Object Message -match "petra" | Format-Table TimeGenerated,Message -AutoSize -Wrap

Petra hat ein falsches Kennwort eingegeben. (0x18)

Quelle: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771