reedbeat 10 Geschrieben 7. Mai 2004 Melden Geschrieben 7. Mai 2004 Hallo! Ich müsste für ein Projekt feststellen können welche Computer bzw. Benutzerkonten auf Ordner und Dateien im Active Directory zugegriffen haben. Wir verwenden eine Windows2000 Domäne. Kann man die Zugriffe mit Hausmitteln von W2k Server protokollieren lassen und in ein Log schreiben? 1000Dank! Reedbeat
gr@mlin 10 Geschrieben 7. Mai 2004 Melden Geschrieben 7. Mai 2004 hi, ja - das geht. 1. in der richtlinie überwachung einschalten (sicherheitseinstellungen) 2. in den eigenschaften/sicherheitseinstellungen/erweitert der datei/en überwachung aktivieren gruss, gr@mlin
jobe 10 Geschrieben 7. Mai 2004 Melden Geschrieben 7. Mai 2004 soweit ich weiss, muss das in der default domain policy eingestellt werden... ich habs schon mit eigens erstellten auf ou's probiert hat irgendwie nicht gegeriffen gruss jobe
reedbeat 10 Geschrieben 7. Mai 2004 Autor Melden Geschrieben 7. Mai 2004 Ok, super! Vielen Dank, ich werds mal ausprobieren! thx REEDBEAT
reedbeat 10 Geschrieben 7. Mai 2004 Autor Melden Geschrieben 7. Mai 2004 Hab jetzt in der DomainPolicy das Audit für Zugriff auf Objekte und Zugriff auf Directory Service aktiviert. Haken sind bei beiden Einträgen bei erfolgreich und nicht erfolgreich drinnen. Hab dann auf einem Ordner welcher am DC liegt die Überwachung aktiviert, indem ich ein paar Useraccounts zur Liste hinzugefügt habe. Überwachung wurde hier auf erfolgreiches und nicht erfolgreiches Lesen von Attributen, Lesen des Ordnerinhalts usw. eingestellt. Im Eventviewer steht das die SecurityPolicy erfolgreich übernommen wurde, also aktiv ist. Bin als ein User der in der Audit Liste steht in den Ordner gengangne und habe etwas herumgebrowst, Attribute über Eigenschaftne gelesen usw. Bei einem Blick in ds Security Log im Event Viewer steht aber kein einziger Eintrag der darauf hinweist dass dieser User sich den Ordner angesehen hat? Was aber drinnen steht - und das ist auch in der DomainPolicy aktiv - wenn ein User sich nicht erfolgreich am System angemeldet hat. was tun? chabra
jobe 10 Geschrieben 7. Mai 2004 Melden Geschrieben 7. Mai 2004 die policy ist wars***einlich noch nicht bis zum server repliziert. mach mal secedit /refreshpolicy aufm server gruss jobe
reedbeat 10 Geschrieben 7. Mai 2004 Autor Melden Geschrieben 7. Mai 2004 hat sich zwar erfolgreich ausführen lassen, hat aber nix gebracht >>> keine einträge im securitylog. hab auch filter-eigenschaften von security im event viewer kontrolliert. es sind alle haken drinnen,alle events werden gelistet, kein filter gesetzt. na toll... da steht man wie die kuh vorm geschlossenen tor :-) reedbeat
reedbeat 10 Geschrieben 7. Mai 2004 Autor Melden Geschrieben 7. Mai 2004 hab natürlich auch nach dem ausführen nochmal in dem ordner herumgestöbert. reedbeat
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden