W2k3 Auditing/Datei- Ordnerüberwachung

[Picard1701]

Hallo,

lese mir gerade die Hilfe zum Auditing durch und schnalle es nicht ganz. Was sind die Voraussetzungen, damit das funktioniert?
In den Securityoptionen eines Ordners habe ich ein Auditingevent hinzugefügt und bekomme die Meldung, dass eine Voraussetzung dafür fehlt und ob ich diese schaffen möchte. Dachte mir, dass wird die Richtlinie sein. Also ok. Leider sehe ich in der Securitylog keinerlei Einträge über meinen auditierten Ordner.
Was muss ich noch einschalten/aktivieren damit die Dateiüberwachung funktioniert?

Danke für die Hilfe

[IThome]

Du musst die Auditpolicy "Objektzugriffsversuche überwachen" aktivieren und entweder auf Erfolg, Fehlgeschlagen oder beides setzen. In den Objekten selbst unter Sicherheit - Erweitert - Überwachen wird dann eingestellt, wer überwacht wird und welche Art von Zugriff.

[Picard1701]

Zitat von IThome Du musst die Auditpolicy "Objektzugriffsversuche überwachen" aktivieren und entweder auf Erfolg, Fehlgeschlagen oder beides setzen. In den Objekten selbst unter Sicherheit - Erweitert - Überwachen wird dann eingestellt, wer überwacht wird und welche Art von Zugriff.

Danke für deine Antwort!
Kannst du mir noch schreiben wo genau ich diese Policiy aktivieren kann!?

Vielen Dank

[IThome]

Im GPO unter Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinien - Objektzugriffsversuche überwachen

[Picard1701]

Zitat von IThome Im GPO unter Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinien - Objektzugriffsversuche überwachen

Ach da!? Vielen Dank!

Picard1701

[Alex20]

Wenn ich dann unter "Überwachung" einen Nutzer hinzufüge wieso muss ich dann nochmals Haken setzen welche Berechtigung er auf diesen Ordner haben soll das ist ja schon unter der Registerkarte "Berechtigungen" definiert. Das nächste wäre dann wenn ich bei "Überwachung" ein Objekt einfüge ist der "Überwachungstyp" immer auf "Erfolgreich" gestellt wo kann ich denn einstellen dass nur fehlgeschlagene Zugriffe überwacht werden oder hat die Einstellung unter "Überwachung" keine Auswirkung? Den Punkt "Objektzugriffe" im AD hab ich so definiert dass nur fehlgeschlagene Zugriffe protokolliert werden.

[IThome]

Überwachung und Berechtigung sind unterschiedliche Dinge. Zuerst konfigurierst Du in dem GPO (wo auch immer es sein mag), welche Art der Überwachung Du möchtest und ob sie "erfolgreich" oder "fehlgeschlagen" oder beides sein soll. Anschliessend konfigurierst Du in dem Objekt unter Überwachung (Datei,Ordner,Drucker ...), welche Benutzer überwacht werden sollen. Wenn der Computer, den Du überwachen willst, nicht von dem GPO erreicht wird, schlägt auch Deine Überwachung fehl ...

[Alex20]

Ich will ja unberechtige Zugriffe protokollieren also füge ich die Gruppe "Jeder" aus der Domäne als Objekt bei "Überwachen" dort kann ich aber bei Berechtigungen nicht "Verweigern" einstellen weil dann doch keíner mehr auf den Ordner zugreifen kann oder wie muss ich die Zugriffsberechtigungen denn verstehen die ich für eine Gruppe bei "Überwachung" einstellen kann?

Edit:

Ok hat geklappt. Wunderbar! Danke!

[IThome]

Als Berechtigung stellst Du ein, was der User machen soll (z.B. Lesen, Ändern,Vollzugriff ...)
In der Überwachung konfigurierst Du, was genau überwacht werden soll und wie.
Ein Beispiel:
Du hast in der Überwachungsrichtlinie festgelegt, dass Objektzugriffe überwacht werden sollen, weil Du wissen möchtest, ob die Leute in einem bestimmten Verzeichnis entweder zu viel Berechtigungen oder eventuell auch zu wenig haben. In diesem Falle konfigurierst Du die Objektüberwachung auf "Erfolg" und "Fehlgeschlagen".
Als nächstes öffnest Du die Sicherheitseinstellungen des betreffenden Ordners und konfigurierst die Berechtigungen, die Du Deinen Benutzern gewähren möchtest. Nehmen wir einfach mal an, Du konfigurierst "Jeder auf Ändern Zulassen". Diese Berechtigungen haben nichts mit der Überwachung zu tun, sie regeln den eigentlichen Zugriff auf die Objekte.
Dann gehst Du in den Sicherheitseinstellungen auf "Erweitert - Überwachung" und trägst dort die Benutzer ein, die überwacht werden sollen. Im nächsten Dialog konfigurierst Du dann, welcher Zugriff genau und wie überwacht werden soll (es macht beispielsweise keinen Sinn, jemanden auf fehlgeschlagene Zugriffe zu überwachen, wenn dieser Jemand Vollzugriff überall hat, da wahrscheinlich nichts fehlschlagen wird). Konfigurierst Du z.B. "Besitzrechte übernehmen auf Fehlgeschlagen" und jemand versucht so etwas, wirst Du eine Meldung im Ereignisprotokoll bekommen.
Du konfigurierst "Zulassen" und "Verweigern" in den Berechtigungen und
"Erfolgreich" und "Fehlgeschlagen" in der Überwachung
edit: hat schon geklappt, hab ich zu spät gesehen