4
2003 Server Datei Zugriff Loggen
Hallo zusammen, ich bin auf der Suche nach einer Möglichkeit den Zugriff auf Dateien unterhalb eines Windows 2003 Servers zu loggen.
Die Windows Boardmittel mit denen man den Zugriff loggen kann habe ich bereits ausgetestet,
also eine Überwachung auf die entsprechende Festplatte und Unterordner gesetzt, sowie
in den Gruppenrichtlinien für "jeden" das mitloggen aufgenommen.
Die Ereignisanzeige Sicherheit hat auch diese Einträge jetzt drin, allerdings lässt sich
hier weder sehen welcher User, noch auf welche Datei überhaupt genau zugegriffen wurde
und welche Art Zugriff erfolgt ist?
Da steht dann so etwas drin:
Kategorie: Verzeichnisdienstzugriff
Ziel-DRA: CN=NTDS Settings,CN=server1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=z,DC=domainxyt,DC=de
Quell-DRA: CN=NTDS Settings,CN=server2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=z,DC=domainxy,DC=de
Namenskontext: DC=z,DC=domainxy,DC=de
Optionen: 12
Sitzungskennung: 12342
End-USN: 975306
Statuscode: 0
Gibt es eine Möglichkeit hier genaueres heraus zu finden bzw. einzustellen um die ausgeben zu lassen?
Oder ein zusätzliches Tool mit dem dies realisiert werden kann?
Vielen Dank schonmal!
also eine Überwachung auf die entsprechende Festplatte und Unterordner gesetzt, sowie
in den Gruppenrichtlinien für "jeden" das mitloggen aufgenommen.
Die Ereignisanzeige Sicherheit hat auch diese Einträge jetzt drin, allerdings lässt sich
hier weder sehen welcher User, noch auf welche Datei überhaupt genau zugegriffen wurde
und welche Art Zugriff erfolgt ist?
Da steht dann so etwas drin:
Kategorie: Verzeichnisdienstzugriff
Ziel-DRA: CN=NTDS Settings,CN=server1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=z,DC=domainxyt,DC=de
Quell-DRA: CN=NTDS Settings,CN=server2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=z,DC=domainxy,DC=de
Namenskontext: DC=z,DC=domainxy,DC=de
Optionen: 12
Sitzungskennung: 12342
End-USN: 975306
Statuscode: 0
Gibt es eine Möglichkeit hier genaueres heraus zu finden bzw. einzustellen um die ausgeben zu lassen?
Oder ein zusätzliches Tool mit dem dies realisiert werden kann?
Vielen Dank schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 158547
Url: https://administrator.de/contentid/158547
Printed on: April 20, 2024 at 05:04 o'clock
4 Comments
Latest comment
Moin.
Es geht so, wie Du beschreibst. Mit Bordmitteln ist es möglich. Hast Du die Überwachung für Objektzugriffe aktiviert (per Sicherheitsrichtlinie)?
in den Gruppenrichtlinien für "jeden" das mitloggen aufgenommen.
Beschreib das genauer.Es geht so, wie Du beschreibst. Mit Bordmitteln ist es möglich. Hast Du die Überwachung für Objektzugriffe aktiviert (per Sicherheitsrichtlinie)?
Hai,
also es wurde eine Gruppenrichtlinie angelegt, die für die Gruppe oder Benutzer "Jeder" gilt.
In der Richtlinie unter "Windows-->Sicherheitseinstellungen-->LokaleRichtlinien-->Überwachungsrichtlinie"
"Objektzugriffsversuche überwachen", sowie "Verzeichnisdienstzugriff überwachen"
aktiviert für "Erfolgreich" sowie "Fehlgeschlagen" Zugriffe.
Und auf Festplattenseite wurde unter "Sicherheit" --> "Erweitert" --> "Überachung"
der "Typ" Alles und "Name" Jeder mit Vollzugriff gesetzt für Diesen Ordner, Unterordner und Dateien
und entsprechend nach unten hin vererbt.
Vielleicht fehlt auch noch eine Einstellung an anderer Stelle?
also es wurde eine Gruppenrichtlinie angelegt, die für die Gruppe oder Benutzer "Jeder" gilt.
In der Richtlinie unter "Windows-->Sicherheitseinstellungen-->LokaleRichtlinien-->Überwachungsrichtlinie"
"Objektzugriffsversuche überwachen", sowie "Verzeichnisdienstzugriff überwachen"
aktiviert für "Erfolgreich" sowie "Fehlgeschlagen" Zugriffe.
Und auf Festplattenseite wurde unter "Sicherheit" --> "Erweitert" --> "Überachung"
der "Typ" Alles und "Name" Jeder mit Vollzugriff gesetzt für Diesen Ordner, Unterordner und Dateien
und entsprechend nach unten hin vererbt.
Vielleicht fehlt auch noch eine Einstellung an anderer Stelle?
Moin Moin
Fisch
/Edit
Klar tut sie das, es funktioniert ja (Wie du geschrieben hast).
Das ganze wird übersichtlicher wenn du dir das Ereignisprotokoll zurecht filterst.
/Edit
Gruß L.
Fisch
also es wurde eine Gruppenrichtlinie angelegt, die für die Gruppe oder Benutzer "Jeder" gilt.
In der Richtlinie unter "Windows-->Sicherheitseinstellungen-->LokaleRichtlinien-->Überwachungsrichtlinie"
"Objektzugriffsversuche überwachen", sowie "Verzeichnisdienstzugriff überwachen"
aktiviert für "Erfolgreich" sowie "Fehlgeschlagen" Zugriffe.
Greift diese GPO auch auf den bewusten Server auf dem sich die Dateien befinden?In der Richtlinie unter "Windows-->Sicherheitseinstellungen-->LokaleRichtlinien-->Überwachungsrichtlinie"
"Objektzugriffsversuche überwachen", sowie "Verzeichnisdienstzugriff überwachen"
aktiviert für "Erfolgreich" sowie "Fehlgeschlagen" Zugriffe.
/Edit
Klar tut sie das, es funktioniert ja (Wie du geschrieben hast).
Das ganze wird übersichtlicher wenn du dir das Ereignisprotokoll zurecht filterst.
/Edit
Gruß L.
Das Filtern würde zwar Helfen alles Übersichtlicher zu machen bei der Masse an Ereignissen,
aber ich bekomme ja dadurch nicht mehr Informationen als ich schon habe,
Filtern kann er ja nur das was da ist, aber der Wert der Info ist nicht wirklich sehr aussagekräftig
Die GPO sollte in jedemfall greien, zum einen ist es der zweite DC, zum anderen
loggt er ja bereits mit :D
aber ich bekomme ja dadurch nicht mehr Informationen als ich schon habe,
Filtern kann er ja nur das was da ist, aber der Wert der Info ist nicht wirklich sehr aussagekräftig
Die GPO sollte in jedemfall greien, zum einen ist es der zweite DC, zum anderen
loggt er ja bereits mit :D
