Skip to content

Verwaltung von Überwachungs- und Sicherheitsprotokollen

MCSE Man kann das Recht zur Verwaltung der Überwachungs- und Sicherheitsprotokolle an eine Gruppe delegieren. Diese Logdateien können normal nur von dem Administrator eingesehen und angelegt werden. Eine IT-Security-Gruppe kann so die Ereignisse im Protokoll überprüfen aber kein neue Ereignis-Protokollierung anlegen.


Um z.B. festzustellen zu welchen Zeiten und an welchen Tagen sich ein Benutzer an der Domäne angemeldet hat, kann man die Ereignisanzeige verwenden um das Sicherheitsprotokoll auf jedem Domänencontroller einzusehen und einen Filter verwenden.

Datensicherungskonzept mit NT-Backup konfigurieren

MCSE Das Programm NT-Backup kann neben den Daten auch die AD (als System-State) sichern. Um ein Sicherungskonzept umzusetzen kann ein Zeitplan mit Aufträgen eingerichtet werden. Für Freitag ist hier eine Vollsicherung vorgegeben.
sicherung wiederherstellung assistentntbackupzeitplan

Für Montags bis Donnerstags soll nun noch eine inkrementelle Sicherung ergänzt werden. Dazu wird auch hier erst einmal eingestellt was gesichert werden soll. Hier ist zu beachten, dass möglichweise nicht alle Daten sondern nur die AD gesichert werden soll.


Danach wird ein Zeitplan für diese Art von Sicherung erstellt.


Während die Sicherung auch mit dem Befehl "ntbackup.exe" gefolgt von verschiedenen Befehlszeilenparametern oder mit Hilfe von Batchdateien ausgeführt werden kann ist es jedoch nicht möglich mit Dateien über die Befehlszeile wiederherzustellen, man muss das Sicherungsprogramm interaktiv verwenden.

Kontakte aus CSV-Dateien in die AD importieren

MCSE "csvde.exe" ist ein Windows 2000-Befehlszeilenprogramm, das sich nach der Installation von Windows 2000 im Ordner "SystemRoot\System32" befindet. "Csvde.exe" verwendet das CSV-Format (kommagetrennte Werte), man kann es zum Importieren und Exportieren von Active Directory-Daten im CSV-Format einsetzen.
Quelle: http://support.microsoft.com/kb/327620/de

Dieser Befehl sollte allerdings auf dem Domaincontroller ausgeführt werden:

Terminaldienste für Remote-Desktop konfigurieren

MCSE Windows Server 2003 bietet an den Rechner als Terminalserver zu betreiben. Auf dem Client ist dafür eine Remotedesktopverbindung erforderlich, der z.B. auch auf Windows XP und sogar ganze anderen Plattformen wie Linux verfügbar ist.

Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit (siehe auch Terminalserver). Dabei fungiert das eine der beiden Systeme als Terminalserver und erzeugt Bildschirmausgaben auf dem anderen System (dem Terminal-Client). Außerdem können Maus und Tastatureingaben vom Terminal-Client entgegengenommen werden.
Quelle: http://de.wikipedia.org/wiki/Remote_Desktop_Protocol

Der Timeout für aktive und inaktive Verbindungen kann genau eingestellt werden:

Um Terminalserver so zu konfigurieren, dass getrennte Sitzungen nach einer Inaktivität von 15 Minuten beendet werden, muss man das mit der OU verknüpfte GPO öffnen und die Richtlinie Zeitlimit für getrennte Sitzungen mit dem Wert 15 Minuten festlegen.

Außerdem ist konfigurierbar, welche Farbtiefen und Peripheriegeräte über die Remote-Desktop-Verbindung bereit gestellt werden sollen.

Um sicher zu stellen, dass die Laufwerke der Clientcomputer bei der Verbindung mit einem der Terminalserver immer zur Verfügung stehen, muss die Option "Beim Anmelden Verbindung zu Clientlaufwerken herstellen" gewählt werden und bei Windows NT 4.0 auch die "Remote Desktop Verbindungs-Clientsoftware" installiert werden.

Für die Verwendung von Remote Desktop muss ein Passwort verwendet werden. Die Security Policy verbietet ein leeres Passwort zu verwenden.

Schattenkopien freigegebener Ordner konfigurieren

MCSE Schattenkopien auf gemeinsam genutzten Ordnern stellen alte Versionen von Dateien bereit, die sich auf freigegebenen Ordnern eines Dateiservers befinden. Im Kontextmenü eines Laufwerks können Schattenkopien aktiviert werden.
shadow copy activate

Bei der Volumeschattenkopie bleiben Dateien geöffnet. Im NTBackup oder anderen Sicherungsprogrammen muss daher die Option "Volumeschattenkopie deaktivieren" gewählt werden um auch geöffnete Dateien zu sichern.

Schattenkopien kann man immer nur für ein ganzes Laufwerk aktivieren!

Schattenkopien kann man verwenden, um Dateien wiederherzustellen, die versehentlich gelöscht oder überschrieben wurden, und um verschiedene Versionen von Dateien zu vergleichen. Der Speicherort für die Schattenkopien kann hier gewählt werden:


Die alten Versionen lassen sich dann in den Eigenschaften einer Netzwerk-Freigabe (Zugriff über das Netzwerk erforderlich!) abrufen. Dazu muss der "twclient.msi" installiert sein.
schatten kopie client
Der Schattenkopieclient ermöglicht den Zugriff auf Schattenkopien auf Windows Server 2003 von Clientcomputern aus, die andere Betriebssysteme als Windows Server 2003 ausführen.

Wenn die Kapazitäten eines Laufwerks erschöpft sind kann man alle bestehenden Schattenkopien löschen.
tweetbackcheck