Überwachung von Ordner- und Dateirechten

01/04/2008 - 14:18 von Kune | Report spam
Guten Tag zusammen,

ich fürchte es gibt schon Unzàhliges darüber, nur scheinen mir die richtigen
google-Begriffe nicht einzufallen.

Das Ziel ist, nachzuvollziehen, wer Rechte an Ordnern und Dateien geàndert
hat und unbedingt auch für wen die Rechte geàndert wurden, d. h. welcher
Gruppe oder User wurden Rechte hinzugefügt, entzogen etc.

Meine Umgebung: Windows Server 2003 Std. als DC und Fileserver mit ca. 60
Usern/Clients.

Mein Ansatz:
Ich habe per GP eine Richtlinie erstellt, in der unter
"Computerkonfiguration -> Sicherheitseinstellungen -> Lokale Richtlinie ->
Überwachungsrichtlinie" die Überwachung für erfolgreiche
Objektzugriffsversuche eingestellt, für alle übrigen die Überwachung
deaktiviert habe.
In der Default-Policy habe ich die Überwachung auf "nicht definiert"
gesetzt, bzw. die neu erstellte Richtlinie erzwungen.
In den zu Überwachenden Ordnern habe ich die zu überwachenden Gruppen
eingepflegt und die Einstellungen für erfolgreiche Rechteànderungen gesetzt.

Wenn ich jetzt einen überwachten Ordern in den Rechten anpacke und z. B.
einen User "Karl Mustermann" hinzufüge, finde ich dies auch im
Sicherheits-Log:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: Objektzugriff
Ereigniskennung: 560
Datum: 01.04.2008
Zeit: 13:35:04
Benutzer: xxx\administrator
Computer: SRV-03-002
Beschreibung:
Geöffnetes Objekt:
Objektserver: Security
Objekttyp: File
Objektname: D:\Test
Handlekennung: 1320
Vorgangskennung: {1,218442112}
Prozesskennung: 2252
Abbilddateiname: C:\WINDOWS\explorer.exe
Primàrer Benutzername: administrator
Primàre Domàne: xxx
Primàre Anmeldekennung: (0x1,0xC633831)
Clientbenutzername: administrator
Clientdomàne: xxx
Clientanmeldekennung: (0x1,0xC633831)
Zugriffe: READ_CONTROL
WRITE_DAC
WRITE_OWNER
ACCESS_SYS_SEC

Rechte: SeSecurityPrivilege
SeTakeOwnershipPrivilege
Beschrànkte SID-Anzahl: 0
Zugriffsmaske: 0x10E0000


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.

Nur gibt es nirgendwo einen Hinwei darauf, dass es Karl Mustermann ist, der
die Rechte bekommen hat. Konkret geht es im Endergebnis darum
nachzuvollziehen, welcher User Rechte geàndert hat UND für wen das
Auswirkungen hatte.

Es wàre nett, wenn jemand einen Ansatz für mich hàtte.

So far ...
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
01/04/2008 - 14:39 | Warnen spam
Moin,

Kune schrieb:
Mein Ansatz:



soweit erst mal richtig.

Nur gibt es nirgendwo einen Hinwei darauf, dass es Karl Mustermann ist, der
die Rechte bekommen hat.



Nein, das wird auch nicht protokolliert.

Konkret geht es im Endergebnis darum
nachzuvollziehen, welcher User Rechte geàndert hat UND für wen das
Auswirkungen hatte.



Dazu brauchst du Zusatzsoftware. Ein Produkt, das sowas reporten kann,
ist der Enterprise Security Reporter von ScriptLogic.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen