(0) exportieren Drucken
Alle erweitern

Active Directory-Domänendienste: Letzte interaktive Anmeldung

Letzte Aktualisierung: September 2009

Betrifft: Windows Server 2008 R2

Bei den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) wurde unter Windows Server® 2008 ein neues Feature eingeführt: die letzte interaktive Anmeldung. Die Informationen zur letzten interaktiven Anmeldung sind in Domänen verfügbar, die auf der Windows Server 2008-Domänenfunktionsebene ausgeführt werden. Sie sind auch auf Windows Server 2008-Server, die einer Domäne angehören und Windows Vista®-Clientcomputern verfügbar.

Welche Funktion hat die letzte interaktive Anmeldung?

Mithilfe der letzten interaktiven Anmeldung können Sie 4 wichtige Komponenten von Benutzeranmeldeinformationen aufzeichnen:

  • Die Gesamtanzahl fehlgeschlagener Anmeldeversuche auf einem Windows Server 2008-Server in einer Domäne oder einer Windows Vista-Arbeitsstation

  • Die Gesamtanzahl fehlgeschlagener Anmeldeversuche nach einer erfolgreichen Anmeldung auf einem Windows Server 2008-Server oder einer Windows Vista-Arbeitsstation

  • Den Zeitpunkt des letzten fehlgeschlagenen Anmeldeversuchs unter Windows Server 2008 oder auf einer Windows Vista-Arbeitsstation

  • Den Zeitpunkt des letzten erfolgreichen Anmeldeversuchs auf einem Windows Server 2008-Server oder einer Windows Vista-Arbeitsstation

Gründe für die Verwendung der letzten interaktiven Anmeldung

Die letzte interaktive Anmeldung ist besonders hilfreich, wenn Sie wissen möchten, ob jemand einen Brute-Force-Angriff auf ein Verzeichnis durchführt, indem er auf ein Konto zugreift und versucht, das Kennwort zu erraten.

Darüber hinaus können Sie mit der letzten interaktiven Anmeldung zu Kompatibilitäts- und Überwachungszwecken bestimmen, wer versucht, auf ein Benutzerkonto zuzugreifen, und wann diese Versuche erfolgen.

Speicherort der Informationen für die letzte interaktive Anmeldung

Die Informationen zur letzten interaktiven Anmeldung werden in 4 Attributen der Benutzerobjekte gespeichert, die dem Schema hinzugefügt werden, wenn eine Domäne auf der Windows Server 2008-Funktionsebene ausgeführt wird:

  • msDS-FailedInteractiveLogonCount – Die Anzahl der fehlgeschlagenen Anmeldeversuche auf einem Windows Server 2008-Server oder einer Windows Vista-Arbeitsstation seit der Aktivierung des Features für die letzte interaktive Anmeldung

  • msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon – Die Gesamtanzahl der fehlgeschlagenen interaktiven Anmeldungen bis zur letzten erfolgreichen Anmeldung per STRG+ALT+DEL

  • msDS-LastFailedInteractiveLogonTime – Ein Zeitstempel des letzten fehlgeschlagenen Anmeldeversuchs

  • msDS-LastSuccessfulInteractiveLogonTime – Ein Zeitstempel des letzten erfolgreichen Anmeldeversuchs auf einem Windows Server 2008-Server oder auf einer Windows Vista-Arbeitsstation

Replikation

Die Informationen zur letzten interaktiven Anmeldung werden auf dem Domänencontroller aktualisiert, der die Benutzeranmeldung authentifiziert. Die Informationen werden dann auf alle Domänencontroller in der Domäne repliziert. Außerdem werden die Informationen wie im vorherigen Abschnitt beschrieben in Attributen gespeichert, die Benutzerobjekten zugeordnet werden.

Wenn ein Benutzerkonto durch einen schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) authentifiziert wird, werden die Informationen in das Benutzerkonto auf dem RODC geschrieben. Außerdem werden die Informationen in den nächsten schreibbaren Domänencontroller geschrieben. Bei der nächsten geplanten Replikation werden die Informationen dann vom schreibbaren Domänencontroller zurück auf den RODC repliziert. Dies ist erforderlich, weil die obere Grenze und die Aktualisierungssequenznummer auf dem RODC nicht aktualisiert werden. Sie werden stattdessen auf dem schreibbaren Domänencontroller aktualisiert.

Melden der Informationen für die letzte interaktive Anmeldung

Die Informationen zur letzten interaktiven Anmeldung werden auf zwei Arten gemeldet:

  • Schreiben der Informationen in das Verzeichnis in AD DS

    Wenn die Informationen zur letzten interaktiven Anmeldung in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) mit Domänencontrollern im Verwaltungsbereich aktiviert wurden, werden sie in die Attribute geschrieben, die im Abschnitt Speicherort der Informationen für die letzte interaktive Anmeldung aufgeführt sind. Dies gilt für alle Benutzerkonten, die sich auf einem der Domänencontroller in der Domäne anmelden.

  • Schreiben der Informationen in das AD DS-Verzeichnis und Anzeigen der Informationen zur letzten interaktiven Anmeldung für Benutzer

    Wenn die Informationen zur letzten interaktiven Anmeldung in einem Gruppenrichtlinienobjekt mit Domänencontrollern im Verwaltungsbereich und in einem Gruppenrichtlinienobjekt mit Server- und Clientcomputern im Verwaltungsbereich aktiviert wurden, werden sie wie bereits beschrieben in das AD DS-Verzeichnis geschrieben und dem Benutzer nach der Anmeldung auf der Arbeitsstation angezeigt.

Informationen, die auf dem Server und der Arbeitsstation angezeigt werden

Wenn sich ein Benutzer zum ersten Mal anmeldet, nachdem das Feature zur letzten interaktiven Anmeldung – in einem Gruppenrichtlinienobjekt mit Domänencontrollern im Verwaltungsbereich und mit Windows Server 2008-Servern oder Windows Vista-Clientcomputern im Verwaltungsbereich – aktiviert wurde, wird nach der Benutzeranmeldung folgende Meldung angezeigt:

<Benutzerkonto>"

"Sie haben sich zum ersten Mal interaktiv mit diesem Konto angemeldet."

Bei späteren Anmeldungen wird folgende Meldung angezeigt:

<Benutzerkonto>"

Anmeldung erfolgreich

"Sie haben sich zuletzt interaktiv mit diesem Konto angemeldet am: <Zeit>"

Anmeldung nicht erfolgreich

"Der letzte nicht erfolgreiche interaktive Anmeldeversuch mit diesem Konto war am: <Zeit>"

"Anzahl der nicht erfolgreichen Anmeldeversuche seit der letzten interaktiven Anmeldung: <Anzahl>"

Konfigurieren der letzten interaktiven Anmeldung

Sie können die letzte interaktive Anmeldung über ein Gruppenrichtlinienobjekt konfigurieren. Sie müssen dafür folgende Einstellung für das Gruppenrichtlinienobjekt mit Domänencontrollern in seinem Verwaltungsbereich konfigurieren, wenn Informationen zur letzten interaktiven Anmeldung im Verzeichnisdienst gemeldet werden soll:

Computerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Windows-Anmeldeoptionen | Informationen zu vorherigen Anmeldungen bei der Benutzeranmeldung anzeigen = Aktiviert

Wenn Benutzern die Informationen zur letzten interaktiven Anmeldung angezeigt werden sollen, müssen Sie diese Einstellungen für das Gruppenrichtlinienobjekt mit Domänencontrollern im Verwaltungsbereich und in allen Gruppenrichtlinienobjekten mit Windows Server 2008 und Windows Vista-Clientcomputern im Verwaltungsbereich konfigurieren.

Hinweise zur Konfiguration

Beachten Sie beim Konfigurieren der letzten interaktiven Anmeldung Folgendes:

  • Damit die letzte interaktive Anmeldung ordnungsgemäß funktioniert, muss die Domänenfunktionsebene auf Windows Server 2008 festgelegt sein. Andernfalls können sich die Benutzer nicht auf den Computern anmelden, und es wird folgende Meldung angezeigt:

    "Aufgrund der Sicherheitsrichtlinien auf diesem Computer werden Informationen über die letzte interaktive Anmeldung angezeigt. Die Informationen konnten nicht ermittelt werden. Wenden Sie sich an den Netzwerkadministrator, um weitere Unterstützung zu erhalten."

  • Wenn Sie die letzte interaktive Anmeldung unter Windows Server 2008 und auf Windows Vista-Computern in einer Domäne aktivieren, aber dieses Feature nicht in einem Gruppenrichtlinienobjekt mit Domänencontrollern im Verwaltungsbereich aktivieren, können sich die Benutzer nicht im System anmelden.

  • Nur unter Windows Server 2008 und auf Windows Vista-Computern werden den Benutzern Informationen zur letzten interaktiven Anmeldung angezeigt. Unter allen anderen Betriebssystemen wird dieses Feature ignoriert.

  • Bei der letzten interaktiven Anmeldung wird nicht protokolliert, von welchem Computer die Anmeldung versucht wurde, da die Informationen zur letzten interaktiven Anmeldung in den Eigenschaften des Benutzerkontos gespeichert werden. Wenn Sie ermitteln möchten, von wo die Anmeldung versucht wurde, müssen Sie die Sicherheitsprotokolle der Domänencontroller überprüfen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft