Audit NTFS Berechtigungen

[gysinma1 13]

Hallo Zusammen

 

Irgendwie komm' ich mit der Boardsuche und dem Vate google nicht weiter.

 

Wir sollten auf einem Fileshare mögliche Änderungen der NTFS Berechtigungen überwachen. GPO ist gesetzt "access object succesfull und not succesfull". Überwachungslevel auf "authenticaed user".

 

Erschwerend kommt dazu, dass das ganze ein 2Node Cluster ist und einige Admins über einen one way trust arbeiten.

 

Nun wieso habe ich ein Problem :cool: das eventlog (securitylog) ist einfach leer. ;)

 

Sicher haben noch andere dasselbe Problem. ...

 

Grüsse,

 

Matthias

[IThome 10]

Da setzt Du ja nur, dass es grundsätzlich funktioniert, die Überwachungseinstellungen der zu überwachenden Verzeichnisse musste auch noch setzen ...

[gysinma1 13]

Hallo IThome

 

Die sind natürlich auch gesetzt. Authenticated user change ntfs rights und take ownership mit der Vererbung auf jedem File.... (Explorer, Filesystem,Security,Advanced,Audit)

 

Wo müsste das gesetzt werden ?

 

Gruss,

 

Matthias

[IThome 10]

Genau da, wo Du es getan hast. Haste mal überprüft, ob die Richtlinie überhaupt angewendet wird ?

[gysinma1 13]

Hallo

 

Die Richtlinie ist gesetzt. Allerdings, wenn ich im GPMC einen Check mache erscheint dies nicht (gut möglich dass die localGPO des Clusterknoten nicht gelistet werden). Habe es jetzt grad noch nochmals versucht. Da dies local gesetzt sein muss d.h. nur auf dem 2Knoten Cluster, ist da nicht möglich, dass ein Cluster per se keine Lokalen Policies mehr kennt sondern nur noch die GPOs der Domain (wie ein DC).

 

Gruss,

 

Mathias