Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Dienstkonto deaktiviert

user_246733 / 2 Antworten / Baumansicht Nickles

Auf ca. 3000 WinXP-PCs in der Domäne läuft ein pollender Dienst für die SW-Verteilung.
Nun hat ein findiges "Spielkind" - welches aber administrative Rechte haben muss - am Paßwort des Dienst-Accounts herumgebastelt, mit dem Effekt, dass der Account entsprechend der Einstellung in der GPO ruckzuck deaktviert wird; also für den benötigten Zweck nicht mehr brauchbar ist.

Wie/womit ist feststellbar, auf welchem speziellen PC die Manipulation stattgefunden hat ?

Vielen Dank
Gruß
alf

GarfTermy user_246733 „Dienstkonto deaktiviert“
Optionen

spass beim suchen wünscht....

nimm die eventlogs und versuch im securitylog dein glück - ich zweifle aber am erfolg.
alternativ sollte die softwareverteilungssoftware ein auditlog haben. ...wenn sie etwas taugt.

ausserdem ssollte der hersteller dieser software da weiterhelfen können. einen versuch ists wert.

letztendlich habt ihr selbst schuld wenn ein spielkind über soviel rechte verfügte da was dran zu drehen.... oder die softwareverteilung ist suboptimal.

empirum taugt etwas. aber das hilft dir nicht weiter. oder?

[sorry für ironicmode]

;-)


alf12 GarfTermy „spass beim suchen wünscht.... nimm die eventlogs und versuch im securitylog...“
Optionen

Hallo user_246733,

vielen Dank für dein statement;
leider hat auch der ein oder andere admin den Film "Denn sie wissen nicht, was sie tun" auf die Praxis bezogen.
Aber nun:
Die logs geben leider nichts her; es wäre auch sehr mühsam wirklich alle auszuwerten, da immer mehrere hundert PCs inaktiv bzw. nicht im LAN sind ( Krankheit, Urlaub, Notebooks, unterschiedliche Arbeitszeiten etc.)

Ich hatte gehofft, es gäbe ein (Server-)tool, mit dem gezielt -bei Auftreten des Problems- nach dem Übeltäter fahnden kann.
Zumindest kenne ich solch ein tool o.ä. nicht, bzw. konnte auch im www nichts finden.
Gruß
alf