Log i Windows 2003 Server

Du kan se hvornår Serveren er slukket, hvis den er slukket på korrekt vis (ellers vil den komme op og spørge hvorfor den er slukket ukorrekt).

Du kan ikke se i en standard log at adgangskode er ændret og af hvem !

Lyder som er seriøst problem, hvis I haft en der har ændret alle adgangskoder ! Kunne lyde som en hacking eller en gammel medarbejder som har haft fuld adgang til systemmet og som er blevet tosset på jer !

ja det lyder mest som noget password-sabotage , men du har mulighed for at overvåge det i fremtiden.
I group policy skal du sætte audit på Account managament og evt. også på account logon, hvis du tror at en account er blevet misbrugt.
For at kunne sortere i loggen er det vigtigt at du kun giver brugere de minimum rettigheder som de har brug for - hvis flere har/haft kendskab til administrator password skal det ændres.

Det er faktisk en tidligere administrator der er mistanke til...

12 brugere + administratoren kunne ikke logge ind, jeg måtte "hacke" maskinen og lægge nyt administrator adgangskode ind, herefter skiftede jeg alle brugernes passwaord, og så virkede det for alle igen, derfor er jeg overbevist om at en eller anden har ændret adgangskoderne. Derudover var serveren slukket, vilket heller ikke er normalt da den ved f.eks. strømafbrydelse er sat til at starte op igen.

Direktøren i foretagenet vil gerne retsforfølge den mistænkte, men ikke uden beviser, og det er så dem jeg leder efter.

Hvor ser jeg efter det med at den er blevet lukket ned?

du skal søge i syetm og security loggen i eventvieweren og under view - filter vælg brugerens account til at søge på så kan du se hvad er logget på hans account - medmindre I bruger en fælles administratoraccount?