Die Kontoverwaltung erfasst lokale (=domänenfremde) Benutzer und Gruppen von Mitgliedsservern und Workstations und fängt Ereignisse im Zusammenhang mit der Erstellung, Änderung und Löschung von Benutzerkonten, Gruppen und Computerkonten ab. Je nach Computertyp, für den diese Funktion verwendet wird, werden entweder lokale oder Domänenkonten verfolgt.
Inventar lokaler Benutzer und Gruppen
Bietet ein Inventar aller lokalen Benutzer und Gruppen (und ihrer Mitglieder) von Mitgliedsservern und Workstations. Die Daten können über die Web Reprts abgefragt werden.
|
Eine Bestandsaufnahme der Domänenbenutzer und -gruppen erfordert ADMonitor. |
Benutzerkontenverwaltung
Anlegen und Löschen von Benutzern
Verfolgt, wann Benutzerkonten erstellt oder gelöscht werden.
Änderungen an Benutzerkonten
Verfolgt, wenn Benutzerkonten geändert werden, z.B. wenn ein Passwort gesetzt wird.
Änderungen des Benutzerstatus
Verfolgt Änderungen des Benutzerstatus, z.B. wenn ein Benutzerkonto deaktiviert oder aktiviert wird.
Event IDs |
User Account Management 4720, 4722, 4724, 4725, 4726, 4738, 4740, 4767
(legacy: 624, 626, 628, 629, 630, 642, 644, 671) |
Gruppenkontenverwaltung
Hinzufügen und Löschen von Gruppen
Überwacht die Erstellung und das Löschen von Gruppen.
Änderungen von Gruppen
Überwacht wenn Gruppen geändert werden, z.B. wenn eine globale Gruppe in eine universelle Gruppe geändert wird.
Änderungen der Gruppenmitgliedschaft
Überwacht die Änderungen in der Gruppenzugehörigkeit, z.B. wenn Mitglieder zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt werden.
Sicherheitsfähige Gruppen, Verteilergruppen
Konfiguriert welche Arten von Gruppen überwacht werden sollen.
Computerkontenverwaltung
Erstellung und Löschung von Computerkonten
Verfolgt, wann Computerkonten hinzugefügt oder gelöscht werden.
Änderungen an Computerkonten
Verfolgt Änderungen an Computerkonten, z. B. wenn das Kennwort eines Computerkontos geändert wird.
Hinweis: Änderungen von Computerkonten treten nur auf Domänencontrollern auf.
Quell-IP-Adresse und Computername abrufen
Wenn die im Kontoverwaltungsereignis enthaltene Anmelde-ID mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann enthält EventSentry die IP-Adresse und/oder den Hostnamen. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar ist, wird ein DNS (Reverse) Lookup durchgeführt, um die fehlenden Informationen zu ermitteln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
