1

Windows Logon Type Codes bei der Anmeldung

Alle Anmeldungen an einem Windows System werden im Event Log protokolliert. Unter Umständen kann es für System-Administratoren interessant sein, wie sich ein Benutzer am System anmeldet. Hierzu gibt es je einen Windows Logon Type Code für normale Anmeldungen, Netzwerk Anmeldung und viele weitere.

  • Anmeldungen im Event ID 4624
  • Abmeldungen im Event ID 4634

Da es unter Windows viele verschiedene Möglichkeiten gibt um sich anzumelden aber auch abzumelden, zeigen wir euch was die verschiedenen Logon Type Codes bedeuten.

Windows Logon Type Codes

Natürlich wird auch das Abmelden protokolliert im Event Viewer. In diesem Beitrag beschäftigen wir uns aber mit dem Anmelden und dessen Protokollierung.

 

Windows Logon Type Code finden im Event Viewer

Um zu erfahren, wann und wie sich ein Benutzer am System angemeldet hat kann man das Windows EventLog einsehen. Hier wird der Windows Logon Type Code hinterlegt. Um nun die gewünschten Informationen zu bekommen, müssen wir folgendermaßen vorgehen:

  1. Den Windows Event Viewer als Administrator starten (Windows Suche: “event”)
  2. Windows Logs aufklappen
  3. Den Log-Bereich Security (Sicherheit) öffnen

Hier werden uns in der Mitte alle Security-Logs gelistet. Nun kann für die Anmeldung nach der Event-ID 4624 gesucht werden.

Mit einem Doppelklick auf das Event bekommen wir alle gewünschten Informationen, unter anderem auch der Windows Logon Type Code.

 

Windows Logon Type Codes Liste

Wirklich interessant ist eigentlich nur, wie sich die Benutzer am System anmelden. Hier schriebt das Event Log mit, über welchen Weg oder über welche Methode sich der Benutzer am Windows authentifiziert. Wir haben euch nachfolgend zusammengefasst, welche Anmelde-Typen es gibt und welche Bedeutung diese haben.

 

Logon Type 2 (Interactive / Interaktiv)

Der Logon Type 2 ist die klassische Anmeldung am System mit Maus und Tastatur. Die Anmeldung wird über die Windows Anmeldemaske durchgeführt. Hierbei spielt es keine Rolle ob es ein normaler Benutzer, oder ein Domänen-Benutzer ist. Auch Anmeldungen über eine IPMI Konsole gehört zu der Interaktiven Anmeldung, obwohl diese (aus Sicht des Users) über das Netzwerk erfolgt.

 

Logon Type 3 (Network / Netzwerk)

Der Logon Type 3 wird protokolliert, wenn auf ein System über das Netzwerk zugegriffen wird. Greift man von Computer1 auf ein Netzlaufwerk oder auf die C$-Freigabe des Computer2 zu, so wird auf Computer2 eine Typ 3 Anmeldung protokolliert.

 

Logon Type 4 (Scheduled Task / Aufgabenplanung)

Wenn auf dem System eine Aufgabenplanung, also ein Scheduled Task konfiguriert ist, so wird für jeden Task bei der Ausführung eine neue Anmelde-Session generiert. Das Hat den Hintergrund, dass der Task auch mit dem User ausgeführt werden kann, der hinterlegt ist. In diesem Falle wird ein Logon Type 4 Fehler in das Windows Event-Log geschrieben.

 

Logon Type 5 (Service / Dienst)

Der Logon Type 5 ist ähnlich wie bei der Aufgabenplanung, nur wird dieser für die Anmeldungen der Windows Dienste verwendet. Dienste werden ebenfalls immer unter einem Bestimmten Benutzer ausgeführt.

 

Logon Type 7 (Unlock / Entsperren)

Der Logon Type 7 wird zum Entsperren von Computern verwendet. Wenn der Computer automatisch gesperrt wurde (meist durch Inaktivität), so kann der angemeldete Benutzer den Computer wieder entsperren. Dieser Vorgang ist für Windows ebenfalls ein anmelden.

 

Logon Type 8 (NetworkCleartext / NetzwerkKlartext)

Dieser Logon Type 8 ist gleich des Tpye 3, nur dass das Kennwort zur Anmeldung in Klartext übertragen wird. In der Regel ist es eher schlecht wenn dieser Code im Eventlog steht, da Windows generell keine Anmeldungen über Klartext erfolgen, beziehungsweise zugelassen werden. Bei IIS Webservern mit Basic Authentication tritt dieses Event oft auf.

 

Logon Type 9 (New Credentials / Neue Anmeldeinformationen)

Dieser Logon Type 9 ist sehr speziell und kommt eher selten vor. Wenn man in einem Script den Befehl RunAs mit dem Parameter /netonly benutzt, wird das Programm zwar lokal auf dem Computer ausgeführt, aber bei Verbindungen auf Netzwerk-Ressourcen wird der angegebene Benutzer verwendet.

 

Logon Type 10 (RemoteInteractive / RemoteInteraktiv)

Wer sich remote an einem Computer anmeldet, in der Regel mit RemoteDesktop, wird der Logon Type 10 in das Windows Event Log geschrieben. Dieser ist ähnlich zum Typ 2, mit dem Unterschied, dass die Anmeldung remote erfolgt.

 

Logon Type 11 (CachedInteractive / GespeichertInteraktiv)

In vielen Fällen kommt es vor, dass der Client (vor allem Notebooks) keine Verbindung zum Domain Controller haben. Der Benutzer kann sich jedoch trotzdem anmelden, falls dieser vor kurzen schon einmal am Gerät angemeldet war. Tritt dieser Fall auf, so sprechen wir vom Logon Type 11 bei der Anmeldung.

 

Fehler bei der Anmeldung – Status Codes

Ist eine Anmeldung fehlgeschlagen, so wird im EventLog dies protokolliert. Aber nicht nur, dass die Anmeldung fehlgeschlagen ist, sondern auch der Grund. Hier gibt es wieder Status Codes zur Anmeldung, welche den Grund der verweigerten Anmeldung am Windows System nennen.

Status Codes Beschreibung
0xC0000064 Benutzername unbekannt oder existiert nicht
0xC000006A Das Passwort ist falsch
0xC000006D Die Authentifizierungsinformationen sind nicht korrekt
0xC0000234 Benutzer ist derzeit nicht berechtigt
0xC0000072 Account ist gesperrt
0xC000006F Anmeldeversuch außerhalb der geregelten Stunden
0xC0000070 Der Client ist nicht berechtigt sich am DC anzumelden
0xC0000193 Account ist abgelaufen
0xC0000071 Passwort ist abgelaufen
0xC0000133 Zeit des Domain Controller und des Clients zu unterschiedlich
0xC0000224 Passwort muss vor der Anmeldung geändert werden
0xc000015b Benutzer kann den angeforderten logon Type nicht gewährleisten
Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 1 comments