Jump to content

W2k3 Auditing/Datei- Ordnerüberwachung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

lese mir gerade die Hilfe zum Auditing durch und schnalle es nicht ganz. Was sind die Voraussetzungen, damit das funktioniert?

In den Securityoptionen eines Ordners habe ich ein Auditingevent hinzugefügt und bekomme die Meldung, dass eine Voraussetzung dafür fehlt und ob ich diese schaffen möchte. Dachte mir, dass wird die Richtlinie sein. Also ok. Leider sehe ich in der Securitylog keinerlei Einträge über meinen auditierten Ordner.

Was muss ich noch einschalten/aktivieren damit die Dateiüberwachung funktioniert?

 

Danke für die Hilfe

Link zu diesem Kommentar
Du musst die Auditpolicy "Objektzugriffsversuche überwachen" aktivieren und entweder auf Erfolg, Fehlgeschlagen oder beides setzen. In den Objekten selbst unter Sicherheit - Erweitert - Überwachen wird dann eingestellt, wer überwacht wird und welche Art von Zugriff.

 

Danke für deine Antwort!

Kannst du mir noch schreiben wo genau ich diese Policiy aktivieren kann!?

 

Vielen Dank

Link zu diesem Kommentar
  • 3 Wochen später...

Wenn ich dann unter "Überwachung" einen Nutzer hinzufüge wieso muss ich dann nochmals Haken setzen welche Berechtigung er auf diesen Ordner haben soll das ist ja schon unter der Registerkarte "Berechtigungen" definiert. Das nächste wäre dann wenn ich bei "Überwachung" ein Objekt einfüge ist der "Überwachungstyp" immer auf "Erfolgreich" gestellt wo kann ich denn einstellen dass nur fehlgeschlagene Zugriffe überwacht werden oder hat die Einstellung unter "Überwachung" keine Auswirkung? Den Punkt "Objektzugriffe" im AD hab ich so definiert dass nur fehlgeschlagene Zugriffe protokolliert werden.

Link zu diesem Kommentar

Überwachung und Berechtigung sind unterschiedliche Dinge. Zuerst konfigurierst Du in dem GPO (wo auch immer es sein mag), welche Art der Überwachung Du möchtest und ob sie "erfolgreich" oder "fehlgeschlagen" oder beides sein soll. Anschliessend konfigurierst Du in dem Objekt unter Überwachung (Datei,Ordner,Drucker ...), welche Benutzer überwacht werden sollen. Wenn der Computer, den Du überwachen willst, nicht von dem GPO erreicht wird, schlägt auch Deine Überwachung fehl ...

Link zu diesem Kommentar

Ich will ja unberechtige Zugriffe protokollieren also füge ich die Gruppe "Jeder" aus der Domäne als Objekt bei "Überwachen" dort kann ich aber bei Berechtigungen nicht "Verweigern" einstellen weil dann doch keíner mehr auf den Ordner zugreifen kann oder wie muss ich die Zugriffsberechtigungen denn verstehen die ich für eine Gruppe bei "Überwachung" einstellen kann?

 

Edit:

 

Ok hat geklappt. Wunderbar! Danke!

Link zu diesem Kommentar

Als Berechtigung stellst Du ein, was der User machen soll (z.B. Lesen, Ändern,Vollzugriff ...)

In der Überwachung konfigurierst Du, was genau überwacht werden soll und wie.

Ein Beispiel:

Du hast in der Überwachungsrichtlinie festgelegt, dass Objektzugriffe überwacht werden sollen, weil Du wissen möchtest, ob die Leute in einem bestimmten Verzeichnis entweder zu viel Berechtigungen oder eventuell auch zu wenig haben. In diesem Falle konfigurierst Du die Objektüberwachung auf "Erfolg" und "Fehlgeschlagen".

Als nächstes öffnest Du die Sicherheitseinstellungen des betreffenden Ordners und konfigurierst die Berechtigungen, die Du Deinen Benutzern gewähren möchtest. Nehmen wir einfach mal an, Du konfigurierst "Jeder auf Ändern Zulassen". Diese Berechtigungen haben nichts mit der Überwachung zu tun, sie regeln den eigentlichen Zugriff auf die Objekte.

Dann gehst Du in den Sicherheitseinstellungen auf "Erweitert - Überwachung" und trägst dort die Benutzer ein, die überwacht werden sollen. Im nächsten Dialog konfigurierst Du dann, welcher Zugriff genau und wie überwacht werden soll (es macht beispielsweise keinen Sinn, jemanden auf fehlgeschlagene Zugriffe zu überwachen, wenn dieser Jemand Vollzugriff überall hat, da wahrscheinlich nichts fehlschlagen wird). Konfigurierst Du z.B. "Besitzrechte übernehmen auf Fehlgeschlagen" und jemand versucht so etwas, wirst Du eine Meldung im Ereignisprotokoll bekommen.

Du konfigurierst "Zulassen" und "Verweigern" in den Berechtigungen und

"Erfolgreich" und "Fehlgeschlagen" in der Überwachung

edit: hat schon geklappt, hab ich zu spät gesehen :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...