Die Benutzerkontenüberwachung fängt Ereignisse im Zusammenhang mit der Erstellung, Änderung und Löschung von Benutzerkonten, Gruppen und Computerkonten ab. Je nach Art des Computers, auf dem diese Funktion verwendet wird, werden entweder lokale oder Domänenkonten überwatcht.
Benutzerkontenverwaltung
Anlegen und Löschen von Benutzern
Verfolgt, wann Benutzerkonten erstellt oder gelöscht werden.
Änderungen an Benutzerkonten
Verfolgt, wenn Benutzerkonten geändert werden, z.B. wenn ein Passwort gesetzt wird.
Änderungen des Benutzerstatus
Verfolgt Änderungen des Benutzerstatus, z.B. wenn ein Benutzerkonto deaktiviert oder aktiviert wird.
Event IDs |
User Account Management
Windows 2003 und älter 624, 626, 628, 629, 630, 642, 644, 671
Windows Vista, Windows 2008 und später 4720, 4722, 4724, 4725, 4726, 4738, 4740, 4767 |
Gruppenkontenverwaltung
Hinzufügen und Löschen von Gruppen
Überwacht die Erstellung und das Löschen von Gruppen.
Änderungen von Gruppen
Überwacht wenn Gruppen geändert werden, z.B. wenn eine globale Gruppe in eine universelle Gruppe geändert wird.
Änderungen der Gruppenmitgliedschaft
Überwacht die Änderungen in der Gruppenzugehörigkeit, z.B. wenn Mitglieder zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt werden.
Sicherheitsfähige Gruppen, Verteilergruppen
Konfiguriert welche Arten von Gruppen überwacht werden sollen.
Computerkontenverwaltung
Erstellung und Löschung von Computerkonten
Verfolgt, wann Computerkonten hinzugefügt oder gelöscht werden.
Änderungen an Computerkonten
Verfolgt Änderungen an Computerkonten, z. B. wenn das Kennwort eines Computerkontos geändert wird.
Hinweis: Änderungen von Computerkonten treten nur auf Domänencontrollern auf.
Quell-IP-Adresse und Computername abrufen
Wenn die im Kontoverwaltungsereignis enthaltene Anmelde-ID mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann enthält EventSentry die IP-Adresse und/oder den Hostnamen. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar ist, wird ein DNS (Reverse) Lookup durchgeführt, um die fehlenden Informationen zu ermitteln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
