Mithilfe der Definition von Überwachungseinstellungen für bestimmte Ereigniskategorien können Sie eine Überwachungsrichtlinie erstellen, die den Sicherheitsanforderungen Ihrer Organisation gerecht wird. Auf Mitgliedsservern und Arbeitsstationen, die einer Domäne angehören, sind standardmäßig keine Überwachungseinstellungen für die Ereigniskategorien definiert. Auf Domänencontrollern ist die Überwachung standardmäßig aktiviert. Weitere Informationen und eine Liste der Ereigniskategorien finden Sie unter Überwachungsrichtlinien.

Lokale Administratoren ist die zum Ausführen dieses Verfahrens mindestens erforderliche Gruppenmitgliedschaft.

So definieren oder ändern Sie Überwachungsrichtlinieneinstellungen für eine Ereigniskategorie auf dem lokalen Computer
  1. Öffnen Sie das Snap-In Lokale Sicherheitsrichtlinie, und wählen Sie Lokale Richtlinien aus.

  2. Klicken Sie in der Konsolenstruktur auf Überwachungsrichtlinie.

    Position

    • Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie

  3. Doppelklicken Sie im Ergebnisbereich auf eine Ereigniskategorie, für die Sie die Überwachungsrichtlinieneinstellungen ändern möchten.

  4. Führen Sie eine oder beide der folgenden Aktionen aus, und klicken Sie dann auf OK.

    • Zum Überwachen erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Erfolgreich.

    • Zum Überwachen nicht erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Fehler.

Weitere Überlegungen

  • Klicken Sie zum Öffnen des Snap-Ins Lokale Sicherheitsrichtlinie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.

Für diesen Vorgang müssen Sie mindestens Mitglied der GruppeDomänen-Admins sein.

So definieren oder ändern Sie die Überwachung von Richtlinieneinstellungen einer Ereigniskategorie für eine Domäne oder Organisationseinheit beim Arbeiten auf einem Mitgliedsserver oder einer Arbeitsstation, der bzw. die zu einer Domäne gehört.
  1. Wenn die Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console) nicht installiert ist, öffnen Sie Server-Manager, und klicken Sie unter Funktionsübersicht auf Funktionen hinzufügen. Aktivieren Sie das Kontrollkästchen Gruppenrichtlinienverwaltung, klicken Sie auf Weiter, und klicken Sie dann auf Installieren.

  2. Wenn auf der Seite Installationsergebnisse angezeigt wird, dass die Installation der GPMC erfolgreich ausgeführt wurde, klicken Sie auf Schließen.

  3. Zeigen Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.

  4. Doppelklicken Sie in der Konsolenstruktur der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt (Group Policy Object, GPO) Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.

  5. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  6. Wechseln Sie in der GPMC zu Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, und klicken Sie dann auf Überwachungsrichtlinie.

  7. Doppelklicken Sie im Ergebnisbereich auf eine Ereigniskategorie, für die Sie die Überwachungsrichtlinieneinstellungen ändern möchten.

  8. Aktivieren Sie beim ersten Definieren der Überwachungsrichtlinieneinstellungen für diese Ereigniskategorie das Kontrollkästchen Diese Richtlinieneinstellung definieren.

  9. Führen Sie eine oder beide der folgenden Aktionen aus, und klicken Sie dann auf OK.

    • Zum Überwachen erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Erfolgreich.

    • Zum Überwachen nicht erfolgreicher Versuche aktivieren Sie das Kontrollkästchen Fehler.

Weitere Überlegungen

  • Zum Öffnen der Microsoft Management Console (MMC) über die Windows-Benutzeroberfläche klicken Sie auf Start, klicken Sie in das Textfeld Suche starten, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.

  • Wenn Sie Objektzugriffsversuche überwachen möchten, aktivieren Sie die Überwachung der Objektzugriff-Ereigniskategorie mithilfe der oben beschriebenen Schritte. Aktivieren Sie dann die Überwachung für das jeweilige Objekt.

  • Nach dem Konfigurieren der Überwachungsrichtlinien werden Ereignisse im Sicherheitsprotokoll aufgezeichnet. Öffnen Sie das Sicherheitsprotokoll zum Anzeigen dieser Ereignisse.

  • Die standardmäßige Überwachungsrichtlinieneinstellung für Domänencontroller lautet Keine Überwachung. Dies bedeutet, dass selbst bei aktivierter Überwachung in der Domäne die Domänencontroller Überwachungsrichtlinien nicht lokal erben. Wenn die Überwachungsrichtlinien der Domäne auch für die Domänencontroller gelten sollen, müssen Sie diese Richtlinieneinstellung ändern.

Weitere Verweise


Inhaltsverzeichnis