12
Überwachung Ordnerzugriffe Windows 2003 Server
Hallo Leute!
Ich möchte gerne auf einem Windows 2003 Server Standard Edition den Ordnerzugriff (Ordner gelöscht, Ordner angelegt usw.) überwachen und maximal den damit verbundenen Dateizugriff.
Ich möchte aber wirklich nur diese beiden Zugriffe überwachen sonst nichts, da es sonst zu unübersichtlich in der Ereignisanzeige wird.
Danke im Voraus.
Grüße
David Burkel
Ich möchte gerne auf einem Windows 2003 Server Standard Edition den Ordnerzugriff (Ordner gelöscht, Ordner angelegt usw.) überwachen und maximal den damit verbundenen Dateizugriff.
Ich möchte aber wirklich nur diese beiden Zugriffe überwachen sonst nichts, da es sonst zu unübersichtlich in der Ereignisanzeige wird.
Danke im Voraus.
Grüße
David Burkel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 35543
Url: https://administrator.de/contentid/35543
Printed on: April 25, 2024 at 16:04 o'clock
12 Comments
Latest comment
Hi David, um die Überwachung für Ordner auf einem NTFS-Datenträger zu aktivieren musst du den entsprechenden Ordner aufsuchen und die Eigenschaften aufrufen. Bitte wechsle auf die Reiterkarte
Sicherheit und dort klickst du Erweitert an. Dort stellst du die von dir benötigten Einstellungen unter der Reiterkarte Überwachung ein.
Hi David, um die Überwachung für Ordner auf einem NTFS-Datenträger zu aktivieren musst du den entsprechenden Ordner aufsuchen und die Eigenschaften aufrufen. Bitte wechsle auf die Reiterkarte
Sicherheit und dort klickst du Erweitert an. Dort stellst du die von dir benötigten Einstellungen unter der Reiterkarte Überwachung ein.
Und wo ersehe ich das Protokoll? Zumindest mal nicht in der Ereignisanzeige.
In der Sparte Sicherheit im Ereignisprotokoll. Zusätzlich kannst du in den Gruppenrichtlinien definieren, wie lange das Protokoll erhalten bleiben soll bis es gelöscht wird und etc.
Gruppenrichtlinien -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien
Gruppenrichtlinien -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien
Dort muss ich wohl die Objektüberwachung anschalten, da die zumindest auch Ordnerzugriffe protokolliert.
Was ich allerdings nicht will, sobald ich die Objektüberwachung anschalte, wird alles mögliche was im Zugriff ist (mmc.exe, exchange usw.) auch protokolliert, da dies Objekte in Windows darstellen.
Ist es nicht möglich dies nur auf Ordnerzugriff zu differenzieren?
Was ich allerdings nicht will, sobald ich die Objektüberwachung anschalte, wird alles mögliche was im Zugriff ist (mmc.exe, exchange usw.) auch protokolliert, da dies Objekte in Windows darstellen.
Ist es nicht möglich dies nur auf Ordnerzugriff zu differenzieren?
Wenn ich diese Optionen bei mir aktiviere in der Gruppenrichtlinie (Objektüberwachung) und zusätzlich einen Ordner überwachen lasse (Lesen, Schreiben und Löschen = Fehlerhaft und Erfolgreich) wird der Explorer unter Sicherheit aufgeführt und das entsprechende Verzeichnis. Es werden ausschließlich die angegebenen Kriterien protokolliert.
Auf einem Windows 2003 Server?
Jupp !!!
Dann hast du deine Ereignisanzeige nicht richtig durchgesichtet.
Hab es gerade wieder getestet und hab wieder den effekt dass jedes Objekt protokolliert wird, also auch die mmc.exe und store.exe vom exchange usw....
Hab es gerade wieder getestet und hab wieder den effekt dass jedes Objekt protokolliert wird, also auch die mmc.exe und store.exe vom exchange usw....
Sicherlich wird einiges anderes ebenfalls mit aufgelistet, aber zwischendurch ist der Zugriff auf das zu überwachenden Verzeichnis ebenfalls enthalten, wenn die angegebene Gruppe Interaktionen auf dieses durchführen. Du wirst mit Windows eigenen Boardmittel keine alleinige Protokollierung des Verzeichnisses bekommen, da unter der Rubrik Objektzugriffsversuche immer das komplette System überwacht wird.
Falls das Log zu groß werden sollte kannst du es auch automatisch löschen lassen.
Falls das Log zu groß werden sollte kannst du es auch automatisch löschen lassen.
Danke dir! Worum es mir ging, zu wissen ob das ein normales Protokollierungsverhalten ist.
Hallo,
läßt sich nur alles oder nichts definieren? Oder kann an irgendeiner Stelle im System feiner gefiltert werden, was überhaupt im Eventlog erscheinen soll.
läßt sich nur alles oder nichts definieren? Oder kann an irgendeiner Stelle im System feiner gefiltert werden, was überhaupt im Eventlog erscheinen soll.
