Quelles sont les traces laissées par un administrateur (domaine et local), lorsqu'ils se connectent à distance aux posts de travail joints au domaine?

Quelles traces seront laissées par l'administrateur (domaine et local), lorsqu'ils se connectent à distance aux posts de travail qui sont joints au domaine?

Contrôleur de domaine: Windows Server 2008 Standard

Stations de travail: Windows XP, Windows 7

Y aura-t-il des traces dans le journal des events du server ou dans le journal des events de la station de travail?

MODIFIER:

Par exemple, un user doté de droits d'administration de domaine de Workstation1 connecte à Workstation2 (à l'admin caché partage c$ ). Y-a-t-il des events enregistrés sur Workstation1 , Workstation2 ou sur Active Directory Server1 ?

2 Solutions collect form web for “Quelles sont les traces laissées par un administrateur (domaine et local), lorsqu'ils se connectent à distance aux posts de travail joints au domaine?”

Votre déclaration «se connecte à» est un peu vague. Je soupçonne que vous parlez d'un administrateur en utilisant des outils d'administration embeddeds ou tiers et non pas des connections TCP simples aux clients.

Il n'y aura pas beaucoup, à less que quelque chose ne soit fait. L'access TCP / IP simple n'est pas enregistré par défaut. Les principales choses que vous recherchiez sont les modifications apscopes au système de files et les loggings dans les journaux des events.

La plupart des «traces» que vous findez seront dans le journal des events de security. Dans une machine stockée Windows XP, il n'y aurait pas beaucoup de quoi que ce soit, car, par défaut, aucune vérification n'était activée dans aucune version de Windows XP. Sur les machines Windows Server 2008 et Windows 7, les valeurs par défaut sont étendues (même si je n'ai pas de reference pratique pour le moment) et je crois que vous verrez des tentatives d'access réussies, ainsi que des pannes, par défaut.

À titre d'exemple, «Politique de vérification» est ce que vous cherchez à configurer les ordinateurs pour vérifier ce genre de choses à l'avenir.

S'il y avait une connection interactive, vous aurez une foule d'events dans le journal des events d'application dans l'une de ces versions de Windows.

Selon le niveau d'audit que vous avez activé sur vos controllers de domaine, vous pouvez voir des events dans les journaux d'events de security sur ces machines qui montrent des events d'ouverture de session sur les ordinateurs clients. Un événement de connection sera généré chaque fois qu'un count de domaine a été utilisé pour accéder à un service qui utilise l'authentification de domaine sur le client (outils d'administration à distance embeddeds via RPC, en connectant les partages de files, les connections interactives).

Si le "Administrateur" a utilisé un outil tiers ("LogMeIn", "VNC", etc.), il y aura probablement des journaux dans le journal des events d'application.

Si le système de files NTFS est configuré avec les parameters par défaut, les derniers time d'access sur les files seront «choqués», mais vous allez probablement décharger toute preuve si vous essayez de chercher à ne pas prendre de précautions. De toute évidence, si des files ont été modifiés ou créés et que les étapes n'ont pas été sockets pour couvrir les pistes, il y aura aussi des changements de time de création et de modification.

Dans le scénario que vous décrivez dans votre question, selon les versions du operating system en cours de lecture, vous pouvez voir des events dans les journaux d'events de security à la fois sur l'ordinateur de Workstation2 et le Active directory Server1 montrant les events de connection au réseau associés à l'access au système de files. Si Workstation2 est une machine Windows XP avec des parameters de stock, vous ne verrez rien là-bas.

C'est un peu trop ouvert, mais oui, il y aura des events connectés à la station de travail connectée / server.

  • Paramètres recommandés pour les tailles de journal des events pour Windows XP
  • L'ordinateur portable développeur avec SQL Server 2008 ne peut pas se connecter à SSIS lorsqu'il est hors site
  • Comment dire à quel ordinateur un file est ouvert sur un partage de réseau?
  • Windows XP: surveillance à distance de la charge de l'UC
  • Verrouiller les parameters XP dns
  • Récupération de données du disque dur bloqué
  • Modèle de partage et de security pour les counts locaux: une raison quelconque d'utiliser ce paramètre dans un domaine?
  • Comment partagez-vous un disque dur entre un Mac et un PC?
  • Windows XP vs Windows Server 2008 pour les composants du server
  • Comment dire à quel ordinateur un fichier est ouvert sur un partage de réseau?
  • Exemples de règles de groupe à l'aide de filters
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.