Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mitlogen welcher User was, wann und wo gelöscht hat - Server 2008 Standard

Frage Microsoft Windows Server

Mitglied: joshivince

joshivince (Level 1) - Jetzt verbinden

20.06.2011 um 13:12 Uhr, 21157 Aufrufe, 10 Kommentare

Es wurde eine große Menge an Daten gelöscht. Wie finde ich heraus wer das war?

Hallo zusammen,

wir haben einen Server 2008 Standard 64Bit im Einsatz.
Innerhalb der D-Platte haben wir ein Verzeichnis freigegeben auf dem AD-User Schreib und auch Löschrechte haben.

Mein Fehler =)

Ich konnte alles was gelöscht war recovern, es waren immerhin 30 GB.

Wie, mit welchen Tools finde ich heraus wer das war? Das muss doch im System irgendwo mitgeloged werden?
Und wenn nicht, welches ist das beste Tool, das sowas kann? Gerne auch kostenpflichtig.

Danke für Eure Antworten im Voraus...

Der
Vince
Mitglied: H41mSh1C0R
20.06.2011 um 13:32 Uhr
Stichwort: Überwachungsrichtlinie

http://technet.microsoft.com/de-de/library/cc771070(WS.10).aspx

Liefert nachträglich natürlich keine Ergebnisse. =)

vg
Bitte warten ..
Mitglied: borste
20.06.2011 um 17:21 Uhr
Hallo,

Die AD liefert frei Haus keine Benutzerinformationen beim löschen.

Bevor Du die Funktion aktivierst, würd ich mich erst mal beim Betriebsrat erkundigen, ob Du das darfst, Stichwort Arbeitskontrolle von Mitarbeitern!

Also Achtung!

Gruß
b
Bitte warten ..
Mitglied: joshivince
21.06.2011 um 10:06 Uhr
Hallo zusammen und danke für Eure Antworten!

Ich habe das nun der Anleitung von H41mSh1CoR entsprechend eingerichtet:

ccd1cf7ceddd56f913cfd7ff7e5b9b40 - Klicke auf das Bild, um es zu vergrößern


Nun schaue ich in die Ereignisanzeige des Servers auf dem ich das eingerichtet habe:

59d25c582f08f4c96d5f0bb8b61ce22a - Klicke auf das Bild, um es zu vergrößern

Ich habe mich testweise mit einem User angemeldet, der in der Gruppe "Domänen-Benutzer" liegt.
Dann habe ich ein Dokument kopiert und wieder gelöscht.

In der Ereingnisanzeige sieht man, dass das nicht mitprotokolliert wurde.

Was könnte ich falsch gemacht haben?

Und @borste: Danke für deinen Hinweis!

Grüße vom
Vince
Bitte warten ..
Mitglied: H41mSh1C0R
21.06.2011 um 10:24 Uhr
In der Sicherheitsrichtlinie (secpol.msc) die Überwachungsrichtlinie entsprechend angepasst ->Überwachen von Objektzugriffen?

vg
Bitte warten ..
Mitglied: joshivince
21.06.2011 um 11:22 Uhr
Moin, meinst du das?

cdf30057fefad1f24165e96149f9c3dd - Klicke auf das Bild, um es zu vergrößern

Zur Info: Ich würde das jetzt auf dem Server ändern den es betrifft. Oder muss ich secpol.msc auf der AD ändern?

"Objektzugriffsversuche Überwachen" scheint für mich das einzig Sinnvolle. Ich habe den Hilfetext dazu nicht verstanden, aber werden da dann auch LÖSCHversuche mitgeschrieben?

Grüße
Bitte warten ..
Mitglied: joshivince
22.06.2011 um 12:15 Uhr
Kann man mir bitte helfen... ich bin servertechnisch ziemlich unbedarft.
Ist obiger Screenshot das, was H41m... mich gefragt hat?

Vielen Dank für Antworten und Hilfe im Voraus.
Bitte warten ..
Mitglied: joshivince
14.09.2011 um 16:17 Uhr
Hallo zusammen,

anbei ein Update:

Ich habe die Funktionalität nun hinbekommen. Alles so wie es sein soll.

FAST: Die Ereignisanzeigen, die mir ja auflisten wer was wann gelöscht hat... die sind irgendwie unvollständig.
Ich habe mich testweise mal per RDP auf einem Terminalserver angemeldet.

Habe eine Datei gelöscht und in die Ereignisanzeige geschaut.
Es wird mir zwar angezeigt, dass ich was gelöscht habe, aber nicht was und von wo. Gerade wo (also Welcher Ordner, welche Datei) ist mir aber so wichtig.


Meine Einstellungen:

6a575a95c0f233f30cea192310a3249c - Klicke auf das Bild, um es zu vergrößern

c31cf7b653f444991c82b9972e791d61 - Klicke auf das Bild, um es zu vergrößern

f4479f28769d8c5792335634976d5f9f - Klicke auf das Bild, um es zu vergrößern


Gibt es da noch irgendwelche Einstellungen die ich vergessen habe?

Und noch was. Im Zeitraum von 14:14 Uhr bis 16:14 Uhr, also 2 Stunden haben sich 550 Ereignisse angesammelt... (nur Löschereignisse!).
Was meint Ihr wie das in 2 Wochen oder 10 Monaten ausschaut?

Da stimmt doch was nicht...
Bitte warten ..
Mitglied: joshivince
14.09.2011 um 16:32 Uhr
Mal nur so am Rande und nebenbei:

Ich hab hier nun einen Kommentar hinterlassen. Wenn ich auf "Neue Beiträge" (http://www.administrator.de/articles) klicke... wird mein Thread nicht auf der Übersicht angezeigt.

Wie bekommen die User nun mit, dass es einen neuen Kommentar in diesem Thread gibt? Das is ja sonst ziemlich sinnlos...

LIEST MICH JEMAND? Hallloooooooooooooooooooo xD^^

Vince
Bitte warten ..
Mitglied: joshivince
14.09.2011 um 16:44 Uhr
Übrigens, falls es hilft: Wenn ich auf dem Datenserver (Ist NICHT die AD = anderer Server!) in secpol.msc die Lokale Richtlinien\Überwachungsrichtlinien >> Objektzugriffsversuche überwachen eigestellt habe reicht das aus, oder? Also ich muss das NICHT auch noch auf der AD einstellen?

Anders gefragt: Der Server der Überwacht werden soll, bzw. der Ordner der sich auf dem Server befindet, der muss in den secpol.msc auch eingestellt sein, man braucht das nicht auf der AD einzsutellen, right?
Bitte warten ..
Mitglied: joshivince
14.09.2011 um 17:07 Uhr
Ich habs hinbekommen.

Ich Gunde bin ich selbst schuld. Ich habe innerhalb der "Benutzerdefinierten Ansichten" nach Ereignis-ID 4660 gefiltert. Das ist das Event für "Ein Objekt wurde gelöscht".
Die dazugehöroge Info-ID, um welche Datei es sich handelt, lautet 4663. Diese schnell dem Filter hinzugefügt und schwupps, habe ich auch die Anzeige dafür, um welche Datei / Ordner es sich handelt.

Schulterklopf xD

Danke und GELÖST...
Bitte warten ..
Ähnliche Inhalte
Windows 7
Welcher User war wann angemeldet Win7
gelöst Frage von MarcysWindows 78 Kommentare

Hallo zusammen, ich habe die Vermutung, dass ein Kollege das Domänen Admin Passwort kennt, da Änderungen an seinem PC ...

Windows Server
Server 2008 Enterprise auf Server 2008 Standard zurückstufen
Frage von JonWindows Server2 Kommentare

Hallo Leute! Ich hab heute mal eine etwas andere Frage: Ein neuer Kunde, sein alter EDV-Techniker ist leider verstorben, ...

Windows Server
Windows SBS 2008 oder Windows Server 2008 Standard
gelöst Frage von malkieWindows Server7 Kommentare

Hallo, folgende Frage. Auf einem Server läuft zur Zeit Windows Server 2003 Standart (Dell PowerEdge 2850). Dieser Server wird ...

Windows Server
Server 2008 Standard nicht mehr erreichbar
gelöst Frage von LonSuderWindows Server15 Kommentare

Liebe Community, folgendes Problem. Bestehendes System vor 2 Monaten Server 2008 Standard, mit einem Hyper V auf dem ein ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 2 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 21 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...