{"id":2080,"date":"2010-06-04T09:37:46","date_gmt":"2010-06-04T08:37:46","guid":{"rendered":"http:\/\/192.168.10.121\/wordpress\/?p=2080"},"modified":"2013-08-29T19:06:01","modified_gmt":"2013-08-29T18:06:01","slug":"schrittweise-anleitung-zum-uberwachen-von-ad-ds-anderungen-unter-windows-server-2008","status":"publish","type":"post","link":"https:\/\/sci-fy.de\/wordpress\/schrittweise-anleitung-zum-uberwachen-von-ad-ds-anderungen-unter-windows-server-2008\/","title":{"rendered":"Schrittweise Anleitung zum \u00dcberwachen von AD DS-\u00c4nderungen unter Windows Server 2008"},"content":{"rendered":"<table>\n<tbody>\n<tr>\n<th align=\"left\"><img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.note%28de-de,WS.10%29.gif\" alt=\"note\" \/>Hinweis<\/th>\n<\/tr>\n<tr>\n<td>Dieses neue \u00dcberwachungsfeature gilt auch f\u00fcr Active Directory   Lightweight Directory Services (AD LDS). In diesem Dokument wird jedoch   nur AD DS behandelt.<!----><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><!----><\/p>\n<h2>Neuigkeiten bei der AD DS-\u00dcberwachung<\/h2>\n<div id=\"sectionSection0\">\n<p>Unter Windows Server\u00a02008 k\u00f6nnen Sie die AD DS-\u00dcberwachung  jetzt mit  einer neuen \u00dcberwachungsunterkategorie einrichten. Darin  werden alte  und neue Werte protokolliert, wenn Objekte und deren  Attribute ge\u00e4ndert  werden.<!--more-->Unter Microsoft\u00ae Windows\u00ae 2000 Server und Windows Server 2003  k\u00f6nnen  Active Directory-\u00dcberwachungsprotokolle anzeigen, <em>wer<\/em> \u00c4nderungen an <em>welchen<\/em> Objektattributen vorgenommen hat. Die   alten und neuen Werte werden in den Ereignissen jedoch nicht angezeigt.   Das \u00dcberwachungsprotokoll kann z. B. anzeigen, dass Joe sein Attribut <strong>Lieblingsgetr\u00e4nk<\/strong> im Verzeichnis ge\u00e4ndert hat, es kann jedoch weder seine fr\u00fcheren   Lieblingsgetr\u00e4nke noch das Attribut nach der \u00c4nderung anzeigen. Mit dem   neuen \u00dcberwachungsfeature k\u00f6nnen Sie Ereignisse protokollieren, die  alte  und neue Werte anzeigen; Sie k\u00f6nnen z. B. anzeigen, dass Joes   Lieblingsgetr\u00e4nk von <strong>Single Latte<\/strong> in <strong>Triple-Shot   Latte<\/strong> ge\u00e4ndert wurde.<\/p>\n<h3>\u00dcberwachen von \u00c4nderungen an Objekten in  AD DS<\/h3>\n<div>\n<p>In Windows 2000 Server und Windows Server 2003 gab es die   \u00dcberwachungsrichtlinie <strong>Verzeichnisdienstzugriff \u00fcberwachen<\/strong>,   durch die gesteuert wurde, ob die \u00dcberwachung f\u00fcr   Verzeichnisdienstereignisse aktiviert oder deaktiviert war. In Windows   Server\u00a02008 ist diese Richtlinie in vier Unterkategorien unterteilt:<\/p>\n<ul>\n<li> <strong>Verzeichnisdienstzugriff<\/strong><\/li>\n<li> <strong>Verzeichnisdienst\u00e4nderungen<\/strong><\/li>\n<li> <strong>Verzeichnisdienstreplikation<\/strong><\/li>\n<li> <strong>Detaillierte Verzeichnisdienstreplikation<\/strong><\/li>\n<\/ul>\n<p>Die Funktionalit\u00e4t f\u00fcr die \u00dcberwachung von \u00c4nderungen an  Objekten in  AD DS wird durch die neue  \u00dcberwachungsrichtlinien-Unterkategorie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert. Diese Anleitung enth\u00e4lt Anweisungen, um diese   \u00dcberwachungsrichtlinien-Unterkategorie zu implementieren.<\/p>\n<p>Zu den \u00c4nderungen, die Sie \u00fcberwachen k\u00f6nnen, geh\u00f6rt das  Erstellen,  \u00c4ndern, Verschieben oder Wiederherstellen eines Objekts durch  einen  Benutzer (oder ein beliebiges Sicherheitsprinzipal). Mit der  neuen  \u00dcberwachungsrichtlinien-Unterkategorie werden der \u00dcberwachung in  AD DS  die folgenden M\u00f6glichkeiten hinzugef\u00fcgt:<\/p>\n<ul>\n<li> Wenn ein erfolgreicher \u00c4nderungsvorgang f\u00fcr ein Attribut   ausgef\u00fchrt wird, werden die vorherigen und aktuellen Werte des Attributs   von AD DS protokolliert. Wenn das Attribut mehrere Werte hat, werden   nur die Werte protokolliert, die sich aufgrund des \u00c4nderungsvorgangs   ge\u00e4ndert haben.<\/li>\n<li> Wenn ein neues Objekt erstellt wird, werden die Werte der  bei der  Erstellung aufgef\u00fcllten Attribute protokolliert. Wenn der  Benutzer  w\u00e4hrend des Erstellungsvorgangs Attribute hinzuf\u00fcgt, werden  diese neuen  Attributwerte protokolliert. In den meisten F\u00e4llen werden  den  Attributen von AD DS Standardwerte zugewiesen (z. B. <strong>samAccountName<\/strong>).   Die Werte dieser Systemattribute werden nicht protokolliert.<\/li>\n<li> Wenn ein Objekt verschoben wird, werden der vorherige und  der neue  Speicherort (definierter Name) f\u00fcr Verschiebungen innerhalb der  Dom\u00e4ne  protokolliert. Wenn ein Objekt in eine andere Dom\u00e4ne verschoben  wird,  wird auf dem Dom\u00e4nencontroller in der Zieldom\u00e4ne ein   Erstellungsereignis generiert.<\/li>\n<li> Wenn ein Objekt wiederhergestellt wird, wird der  Speicherort  protokolliert, in den das Objekt verschoben wird. Wenn der  Benutzer  Attribute w\u00e4hrend eines Wiederherstellungsvorgangs hinzuf\u00fcgt,  \u00e4ndert  oder l\u00f6scht, werden au\u00dferdem die Werte dieser Attribute  protokolliert.\n<div>\n<table>\n<tbody>\n<tr>\n<th align=\"left\"><img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.note%28de-de,WS.10%29.gif\" alt=\"note\" \/>Hinweis<\/th>\n<\/tr>\n<tr>\n<td>Wenn Sie ein Objekt wiederherstellen, l\u00f6schen Sie in  einem einzigen  LDAP-\u00c4nderungsvorgang das Attribut <strong>isDeleted<\/strong>,  und  geben Sie einen neuen Speicherort f\u00fcr das Objekt an, indem Sie das   Attribut <strong>distinguishedName<\/strong> festlegen. Weitere   Informationen finden Sie im Artikel 84001 in der Microsoft Knowledge   Base (<a id=\"ctl00_MTCS_main_ctl03\" onclick=\"javascript:Track('ctl00_MTCS_main_ctl00|ctl00_MTCS_main_ctl03',this);\" href=\"http:\/\/go.microsoft.com\/fwlink\/?LinkId=89248\" target=\"blank\">http:\/\/go.microsoft.com\/fwlink\/?LinkId=89248<\/a>,   m\u00f6glicherweise in englischer Sprache).<!----><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><!----><\/p>\n<\/div>\n<\/li>\n<li> Die von diesen Vorg\u00e4ngen generierten Ereignisse werden im   Sicherheitsprotokoll der Ereignisanzeige angezeigt.<\/li>\n<\/ul>\n<div>\n<table>\n<tbody>\n<tr>\n<th align=\"left\"> <img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.note%28de-de,WS.10%29.gif\" alt=\"note\" \/>Hinweis<\/th>\n<\/tr>\n<tr>\n<td>Wenn ein Objekt gel\u00f6scht wird, werden keine   \u00c4nderungs\u00fcberwachungsereignisse generiert. Es wird jedoch ein   \u00dcberwachungsereignis generiert, wenn die Unterkategorie <strong>Verzeichnisdienstzugriff<\/strong> aktiviert ist.<!----><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><!----><\/p>\n<\/div>\n<\/div>\n<h3>Implementieren der AD  DS-\u00c4nderungs\u00fcberwachung<\/h3>\n<div>\n<p>In Windows Server\u00a02008 implementieren Sie das neue   \u00dcberwachungsfeature mithilfe der folgenden Steuerelemente:<\/p>\n<ul>\n<li> Globale \u00dcberwachungsrichtlinie<\/li>\n<li> Zugriffssteuerungsliste f\u00fcr das System (System Access  Control  List, SACL)<\/li>\n<li> Schema<\/li>\n<\/ul>\n<h4>Globale \u00dcberwachungsrichtlinie<\/h4>\n<div>\n<p>Durch Aktivieren der globalen \u00dcberwachungsrichtlinie <strong>Verzeichnisdienstzugriff   \u00fcberwachen<\/strong> werden alle Richtlinienunterkategorien f\u00fcr den   Verzeichnisdienst aktiviert. Sie k\u00f6nnen diese globale   \u00dcberwachungsrichtlinie in der Gruppenrichtlinie f\u00fcr   Standarddom\u00e4nencontroller festlegen (unter <strong>Sicherheitseinstellungen<\/strong><strong>Lokale   Richtlinien<\/strong><strong>\u00dcberwachungsrichtlinie<\/strong>). In   Windows Server\u00a02008 ist diese globale \u00dcberwachungsrichtlinie   standardm\u00e4\u00dfig nicht aktiviert. Obwohl die Unterkategorie <strong>Verzeichnisdienstzugriff<\/strong> f\u00fcr Erfolgsereignisse standardm\u00e4\u00dfig aktiviert ist, sind die anderen   Unterkategorien standardm\u00e4\u00dfig nicht aktiviert.<\/p>\n<p>In Windows 2000 Server und Windows Server 2003 war die  Richtlinie <strong>Verzeichnisdienstzugriff  \u00fcberwachen<\/strong> das  einzige verf\u00fcgbare \u00dcberwachungssteuerelement  f\u00fcr Active Directory. In  den von diesem Steuerelement generierten  Ereignissen wurden die alten  und neuen Werte f\u00fcr \u00c4nderungen nicht  angezeigt. Mit dieser Einstellung  wurden im Sicherheitsprotokoll  \u00dcberwachungsereignisse mit der ID 566  generiert. In Windows Server\u00a02008  werden mit der  \u00dcberwachungsrichtlinien-Unterkategorie <strong>Verzeichnisdienstzugriff<\/strong> die gleichen Ereignisse generiert, aber die Ereignis-ID wurde ge\u00e4ndert   in 4662.<\/p>\n<div>\n<table>\n<tbody>\n<tr>\n<th align=\"left\"> <img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.note%28de-de,WS.10%29.gif\" alt=\"note\" \/>Hinweis<\/th>\n<\/tr>\n<tr>\n<td>Die neue \u00dcberwachungsrichtlinien-Unterkategorie <strong>Verzeichnisdienstzugriff<\/strong> funktioniert \u00e4hnlich wie die Richtlinie <strong>Verzeichnisdienstzugriff   \u00fcberwachen<\/strong> in Windows 2000 Server und Windows Server 2003,  die  f\u00fcr Erfolgsereignisse standardm\u00e4\u00dfig aktiviert war. Standardm\u00e4\u00dfig  sind  keine weiteren neuen \u00dcberwachungsrichtlinien-Unterkategorien  aktiviert,  damit Administratoren nicht durch zus\u00e4tzliche Ereignisse  \u00fcberlastet  werden, auf die sie nicht vorbereitet sind.<!----><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><!----><\/p>\n<\/div>\n<p>Mit der neuen \u00dcberwachungsrichtlinien-Unterkategorie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> werden erfolgreiche \u00c4nderungen im Verzeichnis zusammen mit den   vorherigen und aktuellen Werten protokolliert. <strong>Verzeichnisdienst\u00e4nderungen<\/strong> sind neue Ereignis-ID-Nummern zugeordnet. Die Einstellungen f\u00fcr <strong>Verzeichnisdienstzugriff<\/strong> und <strong>Verzeichnisdienst\u00e4nderungen<\/strong> werden in der   Datenbank der lokalen Sicherheitsautorit\u00e4t (Local Security Authority,   LSA) gespeichert. Sie k\u00f6nnen mithilfe von neuen LSA-APIs (Application   Programming Interfaces, Anwendungsprogrammierschnittstellen) abgefragt   werden.<\/p>\n<p>Die beiden \u00dcberwachungsunterkategorien sind voneinander  unabh\u00e4ngig.  Sie k\u00f6nnen <strong>Verzeichnisdienstzugriff<\/strong> deaktivieren und  dennoch \u00c4nderungsereignisse sehen, die generiert  werden, wenn die  Unterkategorie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert  ist. Ebenso sehen Sie Sicherheitsprotokollereignisse mit der  ID 4662,  wenn Sie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> deaktivieren und <strong>Verzeichnisdienstzugriff<\/strong> aktivieren.<\/p>\n<p>Sie k\u00f6nnen das Befehlszeilentool <strong>Auditpol.exe<\/strong> verwenden, um \u00dcberwachungsrichtlinien-Unterkategorien anzuzeigen oder   festzulegen. In Windows Server\u00a02008 ist kein Windows-Schnittstellentool   zum Anzeigen oder Festlegen von \u00dcberwachungsrichtlinien-Unterkategorien   verf\u00fcgbar.<\/p>\n<\/div>\n<h4>SACL<\/h4>\n<div>\n<p>Die SACL f\u00fcr das Objekt bleibt die h\u00f6chste Autorit\u00e4t,  wenn es darum  geht, zu bestimmen, ob eine Zugriffs\u00fcberpr\u00fcfung \u00fcberwacht  werden muss.  Die SACL ist der Teil der Sicherheitsbeschreibung eines  Objekts, in dem  angegeben wird, welche Vorg\u00e4nge f\u00fcr einen  Sicherheitsprinzipal  \u00fcberwacht werden sollen.<\/p>\n<p>Der Inhalt der SACL wird durch Sicherheitsadministratoren  f\u00fcr das  lokale System gesteuert. Sicherheitsadministratoren sind  Benutzer,  denen das Recht <strong>Verwalten von \u00dcberwachungs- und   Sicherheitsprotokollen<\/strong> (<strong>SeSecurityPrivilege<\/strong>)   zugewiesen wurde. Dieses Recht ist standardm\u00e4\u00dfig der integrierten Gruppe   <strong>Administratoren<\/strong> zugewiesen.<\/p>\n<p>Wenn in der SACL kein Zugriffssteuerungseintrag (Access  Control  Entry, ACE) vorhanden ist, der die Protokollierung von   Attribut\u00e4nderungen erforderlich macht, werden auch dann keine   \u00dcberwachungsereignisse protokolliert, wenn die Unterkategorie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert ist. Wenn beispielsweise in einer SACL, die den Zugriff zum   Schreiben von Eigenschaften auf das Telefonnummernattribut eines zu   \u00fcberwachenden Benutzerobjekts erforderlich macht, kein   Zugriffssteuerungseintrag vorhanden ist, werden bei \u00c4nderungen des   Telefonnummernattributs keine \u00dcberwachungsereignisse generiert. Dies   gilt auch, wenn die Unterkategorie <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert ist.<\/p>\n<\/div>\n<h4>Schema<\/h4>\n<div>\n<p>Das Schema enth\u00e4lt ein zus\u00e4tzliches Steuerelement, das  Sie zum  Erstellen von \u00dcberwachungsausnahmen verwenden k\u00f6nnen. Dadurch  k\u00f6nnen  Sie vermeiden, dass \u00fcberm\u00e4\u00dfig viele Ereignisse generiert werden.<\/p>\n<p>Wenn Sie z. B. sehen m\u00f6chten, welche Werte sich nach   Attribut\u00e4nderungen f\u00fcr ein Benutzerobjekt ge\u00e4ndert haben, und einige   Attribut\u00e4nderungen ausnehmen m\u00f6chten, k\u00f6nnen Sie im Schema f\u00fcr die nicht   zu \u00fcberwachenden Attribute ein Flag festlegen. Durch die <strong>searchFlags<\/strong>-Eigenschaft   jedes Attributs wird dessen Verhalten definiert, z. B. ob das Attribut   indiziert wird oder ob es an den globalen Katalog repliziert wird. F\u00fcr   die Eigenschaft <strong>searchFlags<\/strong> sind derzeit sieben Bits   definiert.<\/p>\n<p>Wenn Bit 9 (Wert 256) f\u00fcr ein Attribut festgelegt ist,  werden bei  \u00c4nderungen des Attributs keine \u00c4nderungsereignisse von AD DS   protokolliert. Dies gilt f\u00fcr alle Objekte, in denen das Attribut   enthalten ist.<\/p>\n<\/div>\n<\/div>\n<h3>Beispiel eines \u00c4nderungsvorgangs und  eines Protokolleintrags<\/h3>\n<div>\n<p>In der folgenden Tabelle wird ein Beispiel daf\u00fcr gezeigt,  wie  Ereignisse protokolliert werden, wenn ein Benutzer ein Gruppenobjekt   durch Hinzuf\u00fcgen von Werten zu zwei Attributen (<strong>Beschreibung<\/strong> und <strong>Mitglied<\/strong>) \u00e4ndert und die globale   \u00dcberwachungsrichtlinie <strong>Verzeichnisdienstzugriff \u00fcberwachen<\/strong> aktiviert ist. In diesem Beispiel wird sowohl Ereignis 4662 als auch   Ereignis 5136 angezeigt, da die beiden Unterkategorien <strong>Verzeichnisdienstzugriff<\/strong> und <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert sind. F\u00fcr   das Feld <strong>Beschreibung<\/strong> wird Ereignis 5136 jedoch nicht   angezeigt, da f\u00fcr das Attribut <strong>searchFlag<\/strong> der   Eigenschaft die \u00c4nderungs\u00fcberwachung deaktiviert ist.<\/p>\n<table width=\"569\">\n<tbody>\n<tr>\n<th> SACL<\/th>\n<th> Benutzeraktion<\/th>\n<th> \u00dcberwachungsrichtlinien-Einstellungen<\/th>\n<th> Protokollierte \u00dcberwachungsereignisse<\/th>\n<\/tr>\n<tr>\n<td>Objekt:CN=GruppeX,<\/p>\n<p>CN=Benutzer, &lt;Definierter Name der Dom\u00e4ne&gt;<\/p>\n<p>ACE in SACL:<\/p>\n<p>{WP; AU}<\/td>\n<td>Ge\u00e4ndertes Objekt:CN=GruppeX,<\/p>\n<p>CN=Benutzer,<\/p>\n<p>&lt;Dom\u00e4ne mit definiertem Namen&gt;<\/p>\n<p>Ge\u00e4ndertes Attribut: <strong>Mitglied<\/strong><\/p>\n<p>Vorgang: Hinzuf\u00fcgen<\/p>\n<p>Wert: Benutzer1<\/p>\n<p>Ge\u00e4ndertes Attribut:<\/p>\n<p><strong>Beschreibung<\/strong><\/p>\n<p>Vorgang: Hinzuf\u00fcgen<\/p>\n<p>Wert: Gruppe der Benutzer mit Rolle \u201cX\u201d<\/td>\n<td>Unterkategorie: <strong>Verzeichnisdienstzugriff<\/strong> EINUnterkategorie: <strong>Verzeichnisdienst\u00e4nderungen<\/strong> EIN<\/p>\n<p>Beschreibungsattribut im Schema: Bit 8 des Suchflags  legt fest, dass  \u00c4nderungs\u00fcberwachung deaktiviert ist<\/td>\n<td>Ereignis-ID: 4662Objekt: CN=GruppeX, CN=Benutzer, &lt;Dom\u00e4ne mit  definiertem  Namen&gt;<\/p>\n<p>Berechtigung: Eigenschaft schreiben<\/p>\n<p>Attribute: <strong>Mitglied<\/strong>; <strong>Beschreibung<\/strong><\/p>\n<p>Ereignis-ID: 5136<\/p>\n<p>Objekt: CN=Gruppe X, CN=Benutzer, &lt;Dom\u00e4ne mit  definiertem  Namen&gt;<\/p>\n<p>Vorgang: Hinzuf\u00fcgen<\/p>\n<p>Attribut: <strong>Mitglied<\/strong><\/p>\n<p>Wert: <strong>Benutzer1<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<h2>Zielgruppe dieses neuen Features<\/h2>\n<div id=\"sectionSection1\">\n<p>Dom\u00e4nenadministratoren, die die erforderlichen Objekte  einrichten,  die sie \u00fcberwachen m\u00f6chten, sollten dieses Feature  verwenden. Im  Allgemeinen werden Berechtigungen zum \u00c4ndern von SACLs und  zum Anzeigen  des Sicherheitsprotokolls nur <strong>Administratoren<\/strong> zugewiesen. Dazu geh\u00f6ren <strong>Dom\u00e4nen-Admins<\/strong>, <strong>Vordefinierte   Administratoren<\/strong> und <strong>Organisations-Admins<\/strong>.<\/p>\n<\/div>\n<h2>Vorteile der \u00c4nderungs\u00fcberwachung in AD DS<\/h2>\n<div id=\"sectionSection2\">\n<p>Wenn Sie identifizieren k\u00f6nnen, wie Objektattribute ge\u00e4ndert  wurden,  sind die Ereignisprotokolle n\u00fctzlicher als ein   Nachverfolgungsmechanismus f\u00fcr \u00c4nderungen, die w\u00e4hrend der Lebensdauer   eines Objekts auftreten.<\/p>\n<\/div>\n<h2>Einrichten der AD DS-\u00dcberwachung<\/h2>\n<div id=\"sectionSection3\">\n<p>In diesem Abschnitt finden Sie schrittweise Verfahren, um die   \u00dcberwachung von \u00c4nderungen an Objekten in AD DS zu aktivieren. Dieser   Prozess besteht aus zwei wichtigen Schritten:<\/p>\n<ul>\n<li> Aktivieren der globalen \u00dcberwachungsrichtlinie in den   Gruppenrichtlinien<\/li>\n<li> Einrichten der \u00dcberwachung in Objekt-SACLs mit dem Snap-In <strong>Active   Directory-Benutzer und -Computer<\/strong>.<\/li>\n<\/ul>\n<p>In diesem Abschnitt sind zudem Beispiele f\u00fcr   Sicherheitsprotokolleintr\u00e4ge enthalten, die angezeigt werden, wenn Sie   ein Benutzerobjekt erstellen, \u00e4ndern oder verschieben und <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert ist.<\/p>\n<h3>Voraussetzungen<\/h3>\n<div>\n<ul>\n<li> Benutzer: Zum Ausf\u00fchren der verschiedenen Verfahren  sollten Sie  mit der Bearbeitung von Gruppenrichtlinien, der Verwendung  des Snap-Ins  <strong>Active Directory-Benutzer und -Computer<\/strong>,  AD  DS-\u00dcberwachung und Ereignisprotokollen vertraut sein.<\/li>\n<li> Computer: Zum Einrichten der \u00c4nderungs\u00fcberwachung f\u00fcr  Objekte in  AD DS muss Windows Server\u00a02008 mit der AD DS-Rolle auf dem  Computer  installiert sein.<\/li>\n<\/ul>\n<\/div>\n<h3>Schritte zum Einrichten der \u00dcberwachung<\/h3>\n<div>\n<p>In diesem Abschnitt sind Verfahren f\u00fcr alle wichtigen  Schritte  enthalten, um die \u00c4nderungs\u00fcberwachung zu aktivieren:<\/p>\n<ul>\n<li> Schritt 1: Aktivieren der \u00dcberwachungsrichtlinie.<\/li>\n<li> Schritt 2: Einrichten der \u00dcberwachung in Objekt-SACLs mit  dem  Snap-In <strong>Active Directory-Benutzer und -Computer<\/strong>.<\/li>\n<\/ul>\n<h4>Schritt 1: Aktivieren der  \u00dcberwachungsrichtlinie.<\/h4>\n<div>\n<p>Dieser Schritt enth\u00e4lt Verfahren zum Aktivieren der   \u00c4nderungs\u00fcberwachung mithilfe der Windows-Benutzeroberfl\u00e4che oder einer   Befehlszeile:<\/p>\n<ul>\n<li> Wenn Sie die <strong>Gruppenrichtlinienverwaltung<\/strong> verwenden, k\u00f6nnen Sie die globale \u00dcberwachungsrichtlinie <strong>Verzeichnisdienstzugriff   \u00fcberwachen<\/strong> aktivieren, die alle Unterkategorien der AD   DS-\u00dcberwachung aktiviert. Wenn Sie die <strong>Gruppenrichtlinienverwaltung<\/strong> installieren m\u00fcssen, klicken Sie im <strong>Server-Manager<\/strong> auf   <strong>Features hinzuf\u00fcgen<\/strong>. W\u00e4hlen Sie <strong>Gruppenrichtlinienverwaltung<\/strong> aus, und klicken Sie dann auf <strong>Installieren<\/strong>.<\/li>\n<li> Mithilfe des Befehlszeilentools <strong>Auditpol<\/strong> k\u00f6nnen  Sie einzelne Unterkategorien aktivieren.<\/li>\n<\/ul>\n<p><strong> So aktivieren Sie die globale \u00dcberwachungsrichtlinie   mithilfe der Windows-Benutzeroberfl\u00e4che <\/strong><\/p>\n<ol>\n<li>Klicken Sie auf <strong>Start<\/strong>, zeigen Sie  auf <strong>Verwaltung<\/strong> und anschlie\u00dfend auf <strong>Gruppenrichtlinienverwaltung<\/strong>.<\/li>\n<li>Doppelklicken Sie in der Konsolenstruktur auf den  Namen der  Gesamtstruktur, doppelklicken Sie auf <strong>Dom\u00e4nen<\/strong>,   doppelklicken Sie auf den Namen der Dom\u00e4ne, doppelklicken Sie auf <strong>Dom\u00e4nencontroller<\/strong>,   klicken Sie mit der rechten Maustaste auf <strong>Standard-Dom\u00e4nencontrollerrichtlinie<\/strong>,   und klicken Sie dann auf <strong>Bearbeiten<\/strong>.<\/li>\n<li>Doppelklicken Sie unter <strong>Computerkonfiguration<\/strong> auf <strong>Richtlinien<\/strong>,  doppelklicken Sie auf <strong>Windows-Einstellungen<\/strong>,   doppelklicken Sie auf <strong>Sicherheitseinstellungen<\/strong>,   doppelklicken Sie auf <strong>Lokale Richtlinien<\/strong> und auf <strong>\u00dcberwachungsrichtlinie<\/strong>.<\/li>\n<li>Klicken Sie in <strong>\u00dcberwachungsrichtlinie<\/strong> mit der  rechten Maustaste auf <strong>Verzeichnisdienstzugriff  \u00fcberwachen<\/strong>,  und klicken Sie dann auf <strong>Eigenschaften<\/strong>.<\/li>\n<li>Aktivieren Sie das Kontrollk\u00e4stchen <strong>Diese   Richtlinieneinstellungen definieren<\/strong>.<\/li>\n<li>Aktivieren Sie unter <strong>Diese Versuche  \u00fcberwachen<\/strong> das  Kontrollk\u00e4stchen <strong>Erfolgreich<\/strong>,  und klicken Sie dann  auf <strong>OK<\/strong>.<\/li>\n<\/ol>\n<p><strong> So aktivieren Sie die \u00c4nderungs\u00fcberwachungsrichtlinie   mithilfe einer Befehlszeile <\/strong><\/p>\n<ol>\n<li>Klicken Sie auf <strong>Start<\/strong>, klicken Sie  mit der rechten  Maustaste auf <strong>Eingabeaufforderung<\/strong>, und  klicken Sie  dann auf <strong>Als Administrator ausf\u00fchren<\/strong>.<\/li>\n<li>Geben Sie den folgenden Befehl ein, und dr\u00fccken Sie  dann die  EINGABETASTE:<strong>auditpol \/set \/subcategory:\u201ddirectory service   changes\u201d \/success:enable<\/strong><\/li>\n<\/ol>\n<\/div>\n<h4>Schritt 2: Einrichten der \u00dcberwachung  in Objekt-SACLs.<\/h4>\n<div>\n<p>Das folgende Verfahren ist nur ein Beispiel der vielen   unterschiedlichen Typen von SACLs, die Sie f\u00fcr Vorg\u00e4nge festlegen   k\u00f6nnen, die Sie \u00fcberwachen m\u00f6chten.<\/p>\n<p><strong> So richten Sie die \u00dcberwachung in Objekt-SACLs ein <\/strong><\/p>\n<ol>\n<li>Klicken Sie auf <strong>Start<\/strong>, zeigen Sie  auf <strong>Verwaltung<\/strong>,  und klicken Sie dann auf <strong>Active  Directory-Benutzer und  -Computer<\/strong>.<\/li>\n<li>Klicken Sie mit der rechten Maustaste auf die  Organisationseinheit,  f\u00fcr die die \u00dcberwachung aktiviert werden soll, und  klicken Sie dann  auf <strong>Eigenschaften<\/strong>.<\/li>\n<li>Klicken Sie auf der Registerkarte <strong>Sicherheit<\/strong> auf <strong>Erweitert<\/strong> und anschlie\u00dfend auf die Registerkarte <strong>\u00dcberwachung<\/strong>.<\/li>\n<li>Klicken Sie auf <strong>Hinzuf\u00fcgen<\/strong>, und  geben Sie <strong>Authentifizierte  Benutzer<\/strong> (oder einen anderen  Sicherheitsprinzipal) unter <strong>Geben  Sie die zu verwendenden  Objektnamen ein<\/strong> ein. Klicken Sie dann  auf <strong>OK<\/strong>.<\/li>\n<li>Klicken Sie in <strong>\u00dcbernehmen f\u00fcr<\/strong> auf <strong>Untergeordnete   \u201cBenutzer\u201d-Objekte<\/strong> (oder beliebige andere Objekte).<\/li>\n<li>Aktivieren Sie unter <strong>Zugriff<\/strong> das  Kontrollk\u00e4stchen <strong>Erfolgreich<\/strong> f\u00fcr <strong>Alle  Eigenschaften schreiben<\/strong>.<\/li>\n<li>Klicken Sie auf <strong>OK<\/strong>, bis Sie die  Eigenschaftenseite  f\u00fcr die Organisationseinheit bzw. ein anderes Objekt  geschlossen  haben.<\/li>\n<\/ol>\n<\/div>\n<\/div>\n<h3>Beispiele f\u00fcr \u00dcberwachungsereignisse<\/h3>\n<div>\n<p>Dieser Abschnitt enth\u00e4lt Beispiele der neuen Ereignisse,  die im  Sicherheitsereignisprotokoll angezeigt werden, wenn Sie ein   Benutzerobjekt erstellen, \u00e4ndern oder verschieben und <strong>Verzeichnisdienst\u00e4nderungen<\/strong> aktiviert ist.<\/p>\n<h4>Erstellen eines Benutzerobjekts<\/h4>\n<div>\n<p>Wenn Sie einen neuen Benutzer erstellen, wird das in der  folgenden  Abbildung dargestellte Sicherheitsereignis angezeigt.<\/p>\n<p><img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.48cbd776-9617-4fcd-831f-1c539b9ac8f1%28de-de,WS.10%29.gif\" alt=\"Ereigniseigenschaften f\u00fcr ein ge\u00e4ndertes  Benutzerobjekt\" \/><\/p>\n<\/div>\n<h4>\u00c4ndern eines Benutzerobjekts<\/h4>\n<div>\n<p>Wenn Sie ein Attribut f\u00fcr ein Benutzerobjekt \u00e4ndern, wird  das in der  folgenden Abbildung dargestellte Ereignis angezeigt.<\/p>\n<p><img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.65423212-8cc7-4d93-913f-121368be0a9f%28de-de,WS.10%29.gif\" alt=\"Ereigniseigenschaften f\u00fcr ein neues  Benutzerobjekt\" \/><\/p>\n<\/div>\n<h4>Verschieben eines Benutzerobjekts<\/h4>\n<div>\n<p>Wenn Sie ein Benutzerobjekt verschieben, wird das in der  folgenden  Abbildung dargestellte Ereignis angezeigt.<\/p>\n<p><img decoding=\"async\" src=\"\/\/i.technet.microsoft.com\/cc731607.1a1f45bd-7086-4ee4-857f-9e1034186a4d%28de-de,WS.10%29.gif\" alt=\"Ereigniseigenschaften f\u00fcr ein verschobenes  Benutzerobjekt\" \/><\/p>\n<\/div>\n<\/div>\n<\/div>\n<h2>Zusammenfassung der neuen AD  DS-\u00dcberwachungsereignisse<\/h2>\n<p>In der folgenden Tabelle sind die Ereignisse f\u00fcr die  einzelnen  Vorg\u00e4nge beschrieben, die \u00fcberwacht und im  Sicherheitsereignisprotokoll  angezeigt werden. Die Spalten der Tabelle  enthalten die folgenden  Informationen:<\/p>\n<ul>\n<li> Vorgang: Beschreibt den AD DS-Vorgang, der ein   \u00c4nderungs\u00fcberwachungsereignis erzeugen k\u00f6nnte.<\/li>\n<li> Ereignis-ID: Die ID, die die neuen Ereignisse jeweils im   Sicherheitsereignisprotokoll aufweisen.<\/li>\n<li> Ereignisbeschreibung: Eine kurze Beschreibung der Parameter,  die  f\u00fcr ein bestimmtes Ereignis protokolliert werden.<\/li>\n<li> Zugriffssteuerungseintrag in SACL, der das Ereignis ausl\u00f6st:  Der  Typ des ACE-Eintrags, der in der SACL enthalten sein muss, damit ein   bestimmtes Ereignis erzeugt wird. In dieser Spalte ist auch   beschrieben, welches Objekt den Zugriffssteuerungseintrag enthalten   sollte.<\/li>\n<\/ul>\n<table width=\"546\">\n<tbody>\n<tr>\n<th> Vorgang<\/th>\n<th> Ereignis-ID<\/th>\n<th> Ereignisbeschreibung<\/th>\n<th> Zugriffssteuerungseintrag in SACL, der das Ereignis  ausl\u00f6st<\/th>\n<\/tr>\n<tr>\n<td>\u00c4ndern<\/td>\n<td>5136<\/td>\n<td>&lt;Objekt-DN&gt;&lt;Vorgang&gt;: Hinzuf\u00fcgen\/L\u00f6schen<\/p>\n<p>&lt;Name des Attributs&gt;<\/p>\n<p>&lt;Wert&gt;<\/p>\n<p>F\u00fcr vorhandene Objekte:<\/p>\n<p>&lt;Objekt-DN&gt; ist der definierte Name des  vorhandenen Objekts.<\/p>\n<p>F\u00fcr neue Objekte:<\/p>\n<p>&lt;Objekt-DN&gt; ist der definierte Name des neuen  Objekts.<\/p>\n<p>F\u00fcr wiederbelebte Objekte:<\/p>\n<p>&lt;Objekt-DN&gt; ist der definierte Zielname des  Objekts (nach dem  Verschieben des Objekts aus dem Container f\u00fcr  gel\u00f6schte Objekte zum  neuen Speicherort).<\/td>\n<td>ACE{Eigenschaft schreiben; &lt;Attribut&gt; oder  &lt;festgelegte  Eigenschaft&gt; oder leer; Vertrauensnehmer}<\/p>\n<p>F\u00fcr vorhandene Objekte:<\/p>\n<p>ACE sollte in SACL f\u00fcr das Objekt enthalten sein.<\/p>\n<p>F\u00fcr neue Objekte:<\/p>\n<p>ACE sollte in SACL f\u00fcr das Objekt enthalten sein. Die   Sicherheitsbeschreibung (inklusive der SACL) f\u00fcr ein neues Objekt ergibt   sich aus explizit zugewiesenen ACEs + vom \u00fcbergeordneten Objekt   geerbten ACEs + Standard-ACEs in der Schemadefinition des Objekts.<\/p>\n<p>F\u00fcr wiederbelebte Objekte:<\/p>\n<p>ACE sollte in SACL f\u00fcr das wiederbelebte Objekt  enthalten sein. Die  Sicherheitsbeschreibung (inklusive der SACL) f\u00fcr ein  wiederbelebtes  Objekt ergibt sich aus der Sicherheitsbeschreibung, die  beim L\u00f6schen  des Objekts galt + vom neuen \u00fcbergeordneten Objekt geerbten  ACEs.<\/td>\n<\/tr>\n<tr>\n<td>Erstellen<\/td>\n<td>5137<\/td>\n<td>&lt;Neuer Objekt-DN&gt;<\/td>\n<td>{Untergeordnetes Objekt erstellen; &lt;Objekttyp&gt;  oder leer;  Vertrauensnehmer}ACE sollte f\u00fcr \u00fcbergeordnetes Objekt sein<\/td>\n<\/tr>\n<tr>\n<td>Wiederherstellen<\/td>\n<td>5138<\/td>\n<td>&lt;Alter Objekt-DN&gt;&lt;Neuer Objekt-DN&gt;<\/td>\n<td>{Untergeordnetes Objekt erstellen; &lt;Objekttyp&gt;  oder leer;  Vertrauensnehmer}ACE sollte f\u00fcr \u00fcbergeordnetes Zielobjekt sein (nicht  Quellobjekt)<\/td>\n<\/tr>\n<tr>\n<td>Verschieben<\/td>\n<td>5139<\/td>\n<td>&lt;Alter Objekt-DN&gt;&lt;Neuer Objekt-DN&gt;<\/td>\n<td>{Untergeordnetes Objekt erstellen; &lt;Objekttyp&gt;  oder leer;  Vertrauensnehmer}ACE sollte f\u00fcr \u00fcbergeordnetes Zielobjekt sein (nicht  Quellobjekt)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"<p>Hinweis Dieses neue \u00dcberwachungsfeature gilt auch f\u00fcr Active Directory Lightweight Directory Services (AD LDS). In diesem Dokument wird jedoch nur AD DS behandelt. Neuigkeiten bei der AD DS-\u00dcberwachung Unter Windows Server\u00a02008 k\u00f6nnen Sie die AD DS-\u00dcberwachung jetzt mit einer neuen \u00dcberwachungsunterkategorie einrichten. Darin werden alte und neue Werte protokolliert, wenn Objekte und deren Attribute ge\u00e4ndert &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/sci-fy.de\/wordpress\/schrittweise-anleitung-zum-uberwachen-von-ad-ds-anderungen-unter-windows-server-2008\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eSchrittweise Anleitung zum \u00dcberwachen von AD DS-\u00c4nderungen unter Windows Server 2008\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,12],"tags":[112,92],"class_list":["post-2080","post","type-post","status-publish","format-standard","hentry","category-pcees","category-software-pc","tag-server-2008","tag-windows"],"_links":{"self":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts\/2080","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2080"}],"version-history":[{"count":0,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/posts\/2080\/revisions"}],"wp:attachment":[{"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2080"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2080"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sci-fy.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2080"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}