Also wenn du im Eventviewer unter "sicherheit" keine einträge hast muss zuerst die überwachung aktiviert werden, bringt aber nur etwas wenn jeder Benutzer einen eigenen Benutzernamen hat.
kopie aus der Windows hilfe,
---------------------
So aktivieren Sie die Protokollierung im Sicherheitsprotokoll
Klicken Sie auf ->Start -> ausfüheren und geben Sie "gpedit.msc" ein
Klicken sie auf:
-Richtlinien für Lokaler Computer
-Computerkonfiguration
-Windows-Einstellungen
-Sicherheitseinstellungen
-Lokale Richtlinie
-Überwachungsrichtlinie
Doppelklicken Sie im Detailbereich auf das zu überwachende Attribut oder Ereignis.
Klicken Sie im Menü Vorgang auf Sicherheitseinstellungen.
Aktivieren Sie die gewünschten Optionen unter Lokale Sicherheitsrichtlinie, und klicken Sie auf OK.
** Anmeldeversuche überwachen und Objektzugriffsversuche überwachen. anmerkung der red. :) **
Anmerkungen
Sie müssen als Administrator oder als Mitglied der Gruppe Administratoren angemeldet sein, um die Protokollierung im Sicherheitsprotokoll aktivieren zu können. Die Gruppenrichtlinie steht nur Administratoren zur Verfügung.
Wenn Sie bereits eine Konsole mit der Gruppenrichtlinie gespeichert haben, öffnen Sie die gespeicherte Konsole, und beginnen Sie mit Schritt 5.
Falls der Computer mit einem Netzwerk verbunden ist, steht die Protokollierung im Sicherheitsprotokoll aufgrund der Netzwerkrichtlinien möglicherweise nur eingeschränkt oder gar nicht zur Verfügung.
Die Größe des Sicherheitsprotokolls ist beschränkt. Wählen Sie daher die zu überwachenden Ereignisse sorgfältig aus, und legen Sie die Größe des maximal für das Sicherheitsprotokoll zur Verfügung gestellten Festplattenspeichers entsprechend fest. Weitere Informationen zum Ändern der Protokollgröße finden Sie unter Siehe auch.
Dieses Verfahren gilt für Computer, auf denen Windows 2000 Professional ausgeführt wird, außerdem für Windows 2000-Server, die als eigenständige Server oder Mitgliedsserver betrieben werden. Weitere Anweisungen zum Aktivieren der Protokollierung im Sicherheitsprotokoll für Domänencontroller finden Sie unter Siehe auch.
Wenn die Sicherheitsüberwachung auf einem Remotecomputer aktiviert wurde, können Sie das Ereignisprotokoll mit Hilfe der Ereignisanzeige fernanzeigen lassen. Öffnen Sie eine MMC-Konsole im Autorenmodus, und fügen Sie die Ereignisanzeige zur Konsole hinzu. Sie werden aufgefordert, den Computer anzugeben, der durch das Snap-In verwaltet werden soll. Klicken Sie auf Anderen Computer, und geben Sie den Namen des Remotecomputers ein.
Die Sicherheitsüberwachung für Arbeitsstationen, Mitgliedsserver und Domänencontroller kann nur von Domänenadministratoren fernaktiviert werden. Hierzu erstellen Sie zunächst eine Organisationseinheit (OU), und fügen Sie das oder die gewünschten Computerkonten zur OU hinzu. Erstellen Sie unter Active Directory-Benutzer und -Computer eine Richtlinie für das Aktivieren der Sicherheitsüberwachung.
-----------
Viel Spass noch..
diavolino
