Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2008 Ereignisanzeige vereinfachen - Ordnerüberwachnung

Frage Microsoft Windows Server

Mitglied: genius

genius (Level 1) - Jetzt verbinden

07.12.2011 um 17:40 Uhr, 5260 Aufrufe, 18 Kommentare

Hallo Community,

ich habe folgendes Problem. Bei uns im Unternehmen wurde auf einem Netzlaufwerk ein Ordner gelöscht und keiner möchte es gewesen sein,
so wie immer. (Aussagen: Ich...Nein...Ich würde so etwas nie tun... - BlaBla, kann so etwas nicht mehr hören)

Da sich das Laufwerk auf dem SBS2008 befindet, habe ich inder GPO die Objektüberwachung aktiviert und das geht auch,
wenn jemand jetzt einen Ordner oder Dateien löscht wird es in der Ereignisanzeige unter Sicherheit protokolliert.

Nur leider ist diese sehr unübersichtlich, durch die vielen Einträge, so ist das schwer schnell herauszufinden, WER ES WAR.

Gibt es eine Möglichkeit dieses zu vereinfachen? Leider kann ich bei Filter nicht Aufgabenkategorie auswählen,
diese wäre "Dateisystem", so könnte man es schon einschränken. (Ereignis wäre 4656)

Habt ihr da Tipps für mich oder wie Ihr es handhabt?

Nice Day.
Viele Grüße
Basti
Mitglied: keine-ahnung
07.12.2011 um 18:00 Uhr
Hi,

überwachen ist sicher schick, aber weg ist weg?

Ich halte es so, das ich über die erweiterten Berechtigungen meinen Mädels das Löschen auf den public shares einfach nicht erlaube, und wenn es mal was zum Löschen gibt, kann ich das ja machen ...

Kleiner Mehraufwand für mich, aber die Daten gehen nicht über den Jordan ...

LG, Thomas
Bitte warten ..
Mitglied: goscho
07.12.2011 um 18:19 Uhr
Hi Leute,
ich weiß, Backup ist was für Feige,
aber in solchen Fällen könnte es schon helfen, wenn man ein Backup zum Wiederherstellen der Daten hat.

Versehentliches Löschen ist kein DAU-Problem, sondern passiert auch gern erfahrenen Usern bzw. Administratoren.
Bitte warten ..
Mitglied: keine-ahnung
07.12.2011 um 18:51 Uhr
Backup ????

Die Welt ist verrückt! Was da alles erfunden wird ...

LG, Thomas
Bitte warten ..
Mitglied: 2hard4you
07.12.2011 um 18:59 Uhr
Moin,

ShadowCopy ist auch aus?

ich staun dann mal ne Runde und warte, was hier noch passiert

Gruß

24
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 22:30 Uhr
Moin.
Du kannst Löschen allein protokollieren oder Löschen für Unterordner und Dateien - alles was Du brauchst. Erklär ruhig ausführlich, was Dich an der Umsetzung hindert. Auditpolicy für object access an, NTFS-Auditing am Oberordner an für everyone delete bzw. delete subfolders and files und fertig.
Ich empfehle auch noch shadow copies oder alternativ ein undelete-Produkt, das einen Netzwerkmülleimer bereit stellt wie emergency undelete server es tut. Backup ist eh Pflicht, Menschen löschen doch so gerne.
Bitte warten ..
Mitglied: genius
08.12.2011 um 10:18 Uhr
Tagchen,

@keine#ahnung:
Wenn ständig jemand zu mir kommt und mir mit dem Löschen auf die Nerven geht, weil die es nicht können, dann springe ich hier im Dreieck irgendwann. Gute Idee, aber nicht realisierbar.

Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im Backup.
Als Backup Lösung setzen wir Symantec BackupExec.

@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?

@DerWoWusste:
Ich brauche nur die Protokollierung, wenn jemand etwas löscht, kannst du deine Beschreibung etwas einfacher formulieren. *grins*
Natürlich könnte man ein Undelete Tool laufen lassen, aber das dann jedes Mal und gerade bei unseren Datenmengen als Werbeagentur dauert das ein bißchen.
Netzwerkmülleimer, finde ich gut die Idee, aber we kann ich so etwas einrichten, aber da noch keine Erfahrungen.

Ich möchte mit der Ordnerüberwachung niemanden anschwärzen oder so, aber es ist halt besser nachzuvollziehen, wenn jemand mal etwas versehentlich löscht.


Danke euch
Bitte warten ..
Mitglied: goscho
08.12.2011 um 10:29 Uhr
Zitat von genius:
Tagchen,
Backup wird bei uns jeden Tag ausgeführt und ich konnte die Daten auch wiederherstellen, nur das Problem ist halt, wenn die
Daten am Tag hergestellt werden und die dann ausversehen gelöscht werden zum Feierabend, dann sind die Weg und nicht im
Backup.
Als Backup Lösung setzen wir Symantec BackupExec.
@2hard4you:
ShadowCopy, welche Tools könnt ihr da empfehlen, wird dann nicht alles langsamer, weil ständig geschrieben wird?
Dann solltest du CPS (Continuous Protection Server) von BE einsetzen. Ist etwa so wie Shadow Copy (nur besser und komfortabler, benötigt aber eigenen Server).
Bitte warten ..
Mitglied: DerWoWusste
08.12.2011 um 18:41 Uhr
Zum Undelete-Tool: ich spreche nicht von der Suche nach gelöschten Dateien. Undelete Server hält die letzten x GB gelöschte Daten einfach auf dem Server nur dem Admin zugänglich vor (x ist konfigurierbar) - das meinte ich mir Netzwerkmülleimer. Sie sind immer und sofort wiederherstellbar.
Zum Auditing: Du musst Dich schlau machen, nicht ich Dich. Ich habe genau beschrieben, was zu tun ist und die Begriffe genannt. Etwas Elan kann man von einem Genius erwarten, oder? ;)
Bitte warten ..
Mitglied: genius
09.12.2011 um 15:03 Uhr
@ DerWoWusste:
Elan ist immer vorhanden, nur immer eine Frage der Zeit. 0
Ich werde zum Thema Auditing dann mal G... fragen.

Kannst du Undelete Tools empfehlen, die den Netzwerkmülleimer beinhalten?

@goscho:
Du bist BE Spezi oder?
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?

Danke
Bitte warten ..
Mitglied: goscho
09.12.2011 um 15:15 Uhr
Zitat von genius:
@goscho:
Du bist BE Spezi oder?
Ne, das kann man so nicht sagen. Ich habe BE halt schon 1 bis 2 Mal installiert.
Zum Verständnis: Um das CPS von BE einzusetzen, müsste ich BE seperat auf einen Extra Server installieren, der den
anderen Server dann überwacht, gibt es dazu irgendwie ein Tutorial zur Einrichtung?
Stimmt, das muss auf einen eigenen Server (der kann aber mehrere File-Server sichern) und muss mindestens ein W2K3 sein.

Du suchst eine Anleitung?
Im Installationsverzeichnis von CPS im Unterordner Docs gibts Adminhandbücher in sehr vielen Sprachen (auch deutsch). Das ist ca. 230 Seiten lang.

Danke
Bitte, gerne doch
Bitte warten ..
Mitglied: DerWoWusste
09.12.2011 um 15:41 Uhr
Meister.

Du hast doch Auditing schon laufen. Ich habe Dich gebeten, zu sagen, was Dich an der Umsetzung hindert. Eine bebilderte Anleitung kommt nicht, auch nicht von G.
Zu den undelete Tools: Ich hab Dir bereits eins empfohlen: http://www.diskeeper.com/business/undelete/server/default.aspx
Bitte warten ..
Mitglied: genius
09.12.2011 um 16:17 Uhr
@DerWoWusste:
Das mit dem Tool habe ich irgendwie überlesen, sorry.
An der Umsetzung hindert mich nichts, es läuft ja auch.
Meine eigentliche Frage war ja auch, wie die Ereignisanzeige zur Auswertung bei solch einem versehentlichen Löschen von Dateien oder Ordner übersichtlicher gemacht werden kann,
weil dort viele Eintröge gelistet werden und daher es nicht schnell herauszufinden ist.
Am liebsten würde ich einen Filter oder Suche haben, wo ich den Dateinamen oder Ordnernamen eingebe und er das Protokoll durchsucht,
das geht jetzt leider nicht.
Bitte warten ..
Mitglied: DerWoWusste
09.12.2011 um 16:30 Uhr
Doch. Die Suche. Das Fernglas.
Bitte warten ..
Mitglied: genius
09.12.2011 um 16:49 Uhr
ja die könnte man verwenden, aber das ist nicht gerade sehr hilfreich.
Schön wäre es nach folgenden Kriterien zu suchen:
Ereignis: 4656 und
Dateianme: ... oder
Username: ...
Kann man nicht eine eigene Protokollieren einrichten, die nur das protokolliert, so wäre es übersichtlich?
Bitte warten ..
Mitglied: genius
09.12.2011 um 16:52 Uhr
Oder nach der Aufgabenkategorie, dies wäre Dateisystem.
Bitte warten ..
Mitglied: 2hard4you
09.12.2011 um 21:34 Uhr
Moin,

was ist das Problem? Du hast nen 2008 SBS, Du kannst im Eventlog einstellen, bei welcher EventID Du ne Mail bekommst - warum machst Du das nicht?

Gruß

24
Bitte warten ..
Mitglied: genius
13.12.2011 um 11:49 Uhr
Das Problem ist, dass unter dieser EventId mehrere Vorkommnisse protokolliert werden und nicht DELETE, sondern Objektzugriffsereignisse svchost.exe.
Bitte warten ..
Mitglied: 2hard4you
13.12.2011 um 23:10 Uhr
Moin,

dann setze einen Filter drüber oder schraub den Logginglevel hoch...

Gruß

24
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...