Protokolliert Windows, welcher Administrator-Domänenbenutzer ein Ereignis autorisiert hat?

Wenn ein Standardbenutzer beispielsweise eine Softwareinstallation ausführen möchte, für die Administratorrechte erforderlich sind, müssen Administratoranmeldeinformationen verwendet werden, um die Aktion zu autorisieren. Führen Windows oder Active Directory ein Protokoll des Administratorkontos, mit dem die Installation autorisiert wurde? Wenn ja, wo würden Sie nach Informationen suchen?

Hinweis: Der Active Directory-Dienst wird unter Windows Server 2008 ausgeführt. Clients sind hauptsächlich Windows 10 Pro

— ZamEasterner
quelle

Windows kann Anmeldeereignisse protokollieren, obwohl dies standardmäßig nicht aktiviert ist.

— Twisty

Suchen Sie in eventvwr.exe im Sicherheitsprotokoll nach Erfolgsprüfungen des Ereignisses 4624. Hierbei handelt es sich um Anmeldungen. Sie können die enum Logintype überprüfen, um festzustellen, welche Art von Login es war.

— Frank Thomas

Die UAC-Überwachung erfolgt durch Ändern der Windows-Richtlinie (Local \ Group). Die betreffende Richtlinie finden Sie unter: Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Überwachungsrichtlinie

Über die Verwendung der Überwachungsberechtigungen erhalten Sie Informationen zur erhöhten Verwendung im Dialogfeld UAC consent.exe im Systemereignisprotokoll. Die von diesem erstellten Ereignis-IDs: 4648 und 4624.

Audit Process Tracking informiert Sie über Prozesse und deren Erstellung / Beendigung. Event ID erstellt von: 4688.

Überprüfen Sie auch die Ereignis-ID 4696, um festzustellen, wann ein neues Token (Benutzeranmelde-Handle) für die Verarbeitung zugewiesen wurde. Mit all diesen Ereignissen erhalten Sie ein klares Bild der Zeitachse für jeden Prozess, für den ein Dialogfeld mit erweiterten Rechten für die Benutzerkontensteuerung angefordert wurde.

— Kattee Lee
quelle