Wenn ein Standardbenutzer beispielsweise eine Softwareinstallation ausführen möchte, für die Administratorrechte erforderlich sind, müssen Administratoranmeldeinformationen verwendet werden, um die Aktion zu autorisieren. Führen Windows oder Active Directory ein Protokoll des Administratorkontos, mit dem die Installation autorisiert wurde? Wenn ja, wo würden Sie nach Informationen suchen?
Hinweis: Der Active Directory-Dienst wird unter Windows Server 2008 ausgeführt. Clients sind hauptsächlich Windows 10 Pro
windows-7
windows-10
windows-8
windows-server-2008
active-directory
ZamEasterner
quelle
quelle
Antworten:
Die UAC-Überwachung erfolgt durch Ändern der Windows-Richtlinie (Local \ Group). Die betreffende Richtlinie finden Sie unter: Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Überwachungsrichtlinie
Über die Verwendung der Überwachungsberechtigungen erhalten Sie Informationen zur erhöhten Verwendung im Dialogfeld UAC consent.exe im Systemereignisprotokoll. Die von diesem erstellten Ereignis-IDs: 4648 und 4624.
Audit Process Tracking informiert Sie über Prozesse und deren Erstellung / Beendigung. Event ID erstellt von: 4688.
Überprüfen Sie auch die Ereignis-ID 4696, um festzustellen, wann ein neues Token (Benutzeranmelde-Handle) für die Verarbeitung zugewiesen wurde. Mit all diesen Ereignissen erhalten Sie ein klares Bild der Zeitachse für jeden Prozess, für den ein Dialogfeld mit erweiterten Rechten für die Benutzerkontensteuerung angefordert wurde.
quelle