Tipps zur Einrichtung von Benutzer- undID Agenten

IDBenutzer-Agent-Anforderungen:

• Windows Server, das Mitglied der betreffenden Domäne ist, muss Windows Server ausführen. Obwohl ID User-Agent direkt auf dem Server ausgeführt werden AD kann, wird dies nicht empfohlen.
• Der Dienst muss als Domänenkonto mit lokalen Administratorberechtigungen für den ID Benutzer-Agent-Server ausgeführt werden.
• Das Dienstkonto muss Leseberechtigung für das Sicherheitsprotokoll. In Windows 2008 und später Domains ist eine integrierte Gruppe, "Ereignisprotokoll Leserinnen und Leser," ausreichende Rechte vorsieht, dass der Agent. In früheren Versionen von Windows muss das Konto über eine Gruppe den Benutzer "Überwachungs- und Sicherheitsprotokoll verwalten" policy erhalten. So dass dem Konto Mitglied der Gruppe "Domänenadministratoren" bietet Rechte für alle Vorgänge.
• Bei Verwendung von WMI Prüfversuchen muss das Dienstkonto über die Rechte zum Lesen des CIMV2-Namespace auf der Clientarbeitsstation verfügen. Das ID Benutzer-Agent-Konto muss den "Remotedesktopbenutzern" hinzugefügt werden. Domänen-Admin hat dies standardmäßig.
• Wenn Sie nur einen ID User-Agent verwenden, stellen Sie sicher, dass alle Domänencontroller in die Ermittlungsliste aufgenommen werden.
• Der Domänencontroller ( DC ) muss "erfolgreiche Login"-Informationen protokollieren.

Der ID Benutzer-Agent überwacht die Domänencontroller auf die folgenden Ereignisse:

• Windows 2003
  • 672 (Authentifizierung Ticket gewährt, die auf der Anmeldung Moment auftritt),
  • 673 (Service-Ticket gewährt)
  • 674 (Ticket gewährt erneuert die mehrmals während der Anmeldesitzung passieren kann)
• Windows 2008
  • 4768 (Authentifizierungsticket gewährt)
  • 4769 (service-Ticket gewährt)
  • 4770 (Ticket gewährt erneuert)
  • 4624 (Anmeldung erfolgreich)
• Bei der Kontoanmeldung wird das DC Datensatzereignis ID 672 als erste Anmeldung für die Authentifizierungsticketanforderung registriert.
• Keine relevanten Konto abmelden Ereignis wird aufgezeichnet.
• Wenn NetBIOS-Überprüfung aktiviert ist, ist keine Verbindungen zu einer Datei oder Druck-Service auf der Liste Server überwacht auch vom Agenten gelesen. Diese Verbindungen stellen aktualisierte IP Benutzerzuordnungsinformationen für den Agenten bereit. In allen Fällen werden die neueren Veranstaltung für Benutzerzuordnung ältere Ereignisse überschrieben.
• Wenn die WMI Prüfung aktiviert ist, stellen Sie sicher, dass das Sondierungsintervall auf einen angemessenen Wert für die Anzahl der Arbeitsstationen festgelegt ist, die möglicherweise abgefragt werden müssen. Beispielsweise gibt es 5.000 Gastgeber, Sonde, richte eine bohrende Intervall von 10 Minuten ein.Beide Einstellungen finden Sie unter Benutzeridentifikation > Setup > Client-Abing auf dem ID Benutzer-Agenten:

  

• In einigen Fällen schlägt der WMI Test fehl, da auf der Arbeitsstation möglicherweise ein lokaler Arbeitsplatz ausgeführt wird firewall oder kein Mitglied der Domäne ist. In diesem Fall die Zuordnung kann gelöscht werden sobald der Cache-Timeout überschritten wird, auch wenn die Arbeitsstation ist und Durchgangsverkehr. Führen Sie zum Testen den folgenden Befehl über den ID Benutzer-Agent aus.
  • WMIC /node:workstationIPaddress Computersystem erhalten Benutzername
  • Es sollte den Benutzer auf diesen Computer eingeloggt zurück.
  • Windows-Firewalls können mit diesen Befehlen lokal auf der Arbeitsstation oder dem Server festgelegt werden, wenn remote konfiguriert ist, die firewall nicht möglich ist:
    • Für Windows XP /Windows Server 2003:
      netsh firewall set service RemoteAdmin aktivieren
    • Für Windows Vista/Windows Server 2008 (beachten Sie, dass die Befehlszeile in der erhöhten Eingabeaufforderung ausgeführt werden soll):
      netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
  • Wenn Sie nicht sicher sind, dass die Arbeitsstationen auf WMI Prüfpunkte reagieren, legen Sie das Zeitout für den Benutzercache auf einen höheren Wert fest, ID da die Zuordnung von den Anmeldeereignissen der Benutzer abhängt. In diesem Fall wird nach dem ersten Login Event Cache Timeout überschritten, wird die Zuordnung gelöscht werden, obwohl der Benutzer noch angemeldet ist. Diese Einstellung finden Sie unter Benutzeridentifikation > Setup > Cache auf dem ID Benutzer-Agent:

    

• Bestätigen Sie, dass alle Domänencontroller in der Liste der Server zu überwachen.Ist dies nicht der Fall, können nicht alle IP Benutzerzuordnungen enthalten sein, da jeder Domänencontroller die Benutzer potenziell authentifizieren kann.
• Bestätigen Sie, dass die Domänencontroller-Liste korrekt ist, durch Ausführen des folgenden Befehls von einem Domänencontroller:
  • dsquery server –o rdn (die eine Liste Ihrer DCs druckt). Entfernen Sie alle Domänencontroller, die nicht mehr existieren.
• Vergewissern Sie sich, dass der Benutzer ID in der Zone aktiviert ist, in der der Datenverkehr bezogen wird. Diese Einstellung ist unter Netzwerk > Zonen: