Zitat
Im AD wurde schon nachgeschaut da solle nichts sinnvollen drinstehen ??
Ich wa leider noch nicht da sonst würde ich mal nacheschauen.
Danke schomal.
Sofern auf den DCs der Domäne Anmelde- und Abmeldeereignisse überwacht werden, werden diese dann im Sicherheits-Ereignisprotokoll der DCs gespeichert. Falls dies der Fall ist, sollte die Ansicht des Sicherheitsprotokolls nach Benutzern sortiert werden [Spalte "Benutzer"]. Dann das Benutzerobjekt im passenden Zeitraum lokalisieren und nach Ereignis-ID 528 schauen. Darin wird neben dem Anmeldekonto auch das Computerkonto aufgeführt, von dem aus die Anmeldung durchgeführt worden ist.
BTW - Ihr seid nicht zufällig Kunde meiner Firma und ich habe nicht zufällig gestern mit einem deiner Kollegen [Herr Pa***en] telefoniert? Dem habe ich das Gleiche gesagt.
Die Logfiles der DCs waren jedenfalls unterschiedlich konfiguriert und das entscheidende Anmeldeereignis wurde nicht gefunden.
Die Ereignisprotokolleinstellungen werden am besten über die Default Domain Controllers Policy verbindlich für alle DCs konfiguriert. Das Sicherheitsprotokoll auf DCs sollte 10MB oder grösser sein. Das Überschreiben sollte auf "bedarfsweise" oder "gar nicht" konfiguriert sein. Im Falle der letzten Option geht man sicher, dass keine Sicherheitsereignisse nicht protokolliert werden. Dies kann jedoch dazu führen, dass an einem DC mit vollem Log solange keine Anmeldungen mehr durchgeführt werden können, bis das Log manuell gesichert und dann geleert worden ist.