Freigaben verschwinden regelmäßig

[heinzelrumpel 10]

Hi,

 

beobachte gerade ein seltsames Phänomen, nämlich dass in unregelmäßigen Abständen eingerichtete Freigaben einfach verschwinden. Kein will es gewesen sein. Das ganze passiert auf einem w2k8 R2 Server. Würde da die Ordnerüberwachung weiterhelfen, um den Übeltäter zu finden ( Rechteüberwachung) ? Gibt es evtl. andere Prozesse etc. die Freigaben löschen? Es sind nämlich immer die gleichen ( ca. 8 Freigaben) und es sind aber nicht alle Freigaben des Servers betroffen.

 

Grüße, Heinzelrumpel

[iDiddi 27]

Würde da die Ordnerüberwachung weiterhelfen, um den Übeltäter zu finden ( Rechteüberwachung) ?

Meinst Du die "normalen" Benutzer oder andere Admins?

 

Ein Benutzer arbeitet ja nicht direkt auf dem Server, oder? Wie soll er dann eine Freigabe aufheben?!

 

Falls die kompletten Ordner gelöscht werden, dann passe die Sicherheitsberechtigungen entsprechend an.

 

Und falls Ihr mehrere Admins habt, dann sollte man mal mit denen sprechen ;)

 

Gibt es evtl. andere Prozesse etc. die Freigaben löschen?

Das wird es wohl eher sein. Was sagt das Ereignisprotokoll? Handelt es sich denn nur um selbst angelegte Freigaben oder auch um Standardfreigaben des Servers?

[heinzelrumpel 10]

Meinst Du die "normalen" Benutzer oder andere Admins?

 

Ein Benutzer arbeitet ja nicht direkt auf dem Server, oder? Wie soll er dann eine Freigabe aufheben?!

 

Falls die kompletten Ordner gelöscht werden, dann passe die Sicherheitsberechtigungen entsprechend an.

 

Und falls Ihr mehrere Admins habt, dann sollte man mal mit denen sprechen ;)

 

 

Das wird es wohl eher sein. Was sagt das Ereignisprotokoll? Handelt es sich denn nur um selbst angelegte Freigaben oder auch um Standardfreigaben des Servers?

 

Es handelt sich nur um selbst angelegte Freigaben und ja, ich will die Admins überwachen :mad: Es werden auch nicht die dazugehörigen Ordner gelöscht, sondern wirklich nur die Freigaben. Kann mir nicht vorstellen, dass dies von alleine passieren soll. Das wäre schon ein erheblicher bug.

[Necron 71]

Es handelt sich nur um selbst angelegte Freigaben und ja, ich will die Admins überwachen :mad:

Und da sind wir schon wieder bei einem sehr heiklen Thema! Wenn bei euch im Unternehmen mehrere Admins sind, dann, wie iDiddi schon sagte, sucht das Gespräch!

 

Für weitere Vorschläge woran es eventuell liegen könnte lasse ich den Thread offen.

 

Tipps die in Richtung Überwachung gehen, werden von mir editiert und der Thread geschlossen.

[lefg 276]

...beobachte gerade ein seltsames Phänomen, nämlich dass in unregelmäßigen Abständen eingerichtete Freigaben einfach verschwinden. ...

 

Unregelmäßig, eventuell nach einem Restart des Servers?

[heinzelrumpel 10]

Und da sind wir schon wieder bei einem sehr heiklen Thema! Wenn bei euch im Unternehmen mehrere Admins sind, dann, wie iDiddi schon sagte, sucht das Gespräch!

 

Für weitere Vorschläge woran es eventuell liegen könnte lasse ich den Thread offen.

 

Tipps die in Richtung Überwachung gehen, werden von mir editiert und der Thread geschlossen.

 

 

Wieso, wenn ich fragen darf? Das ist m.E. nichts ungesetzliches. Wir sind zu dritt und keiner der anderen beiden hat die Freigaben gelöscht. Das glaube ich auch sofort. Nun könnte es ja sein, dass irgendjemand ein Passwort von uns bzw. vom Administratorkonto zufällig beim "über die Schulter schauen" ausgespäht" hat. Möchte halt wissen, ob die Freigaben über den Weg eines Benutzkontos gelöscht werden, oder ob das im System passiert.

[blub 115]

Hi,

du könntest die mit WMI die Instancdeletionevents der WMI-Klasse Win32_share überwachen. Dann hättest du zumindest die genaue Uhrzeit, wann die Freigaben verschwunden sind und damit in den Eventlogs der Server weitersuchen.

PowerShell - WMI - PowerShellPraxis.de -> Beispiel 2

 

blub

[Necron 71]

Wieso, wenn ich fragen darf? Das ist m.E. nichts ungesetzliches.

Wenn du die Admins überwachen möchtest, dann ist das Mitarbeiterüberwachung und dazu dürfen wir, weil wir keine Rechtsanwälte sind, keine Auskunft geben. Daher mein Hinweis. :)

 

Falls jemand euer Passwort ausgespäht haben sollte, sei es beim über die Schulter gucken oder ähnliches, dann würde ich die Passwörter von den administrativen Accounts ändern. ;)

[iDiddi 27]

Kann es sein, dass die Freigaben nach einem Server-Neustart verschwinden?

 

Werden sie weiterhin in der Freigabeverwaltung am Server angezeigt?

 

Stehen die Freigaben weiterhin in der Registrierung?

 

Schau mal unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares nach.

[lefg 276]

Es muss nicht an den Admins liegen.

 

Wir hatten neulich einen Fall, da waren die Freigaben nach einem Restart verschwunden; die Ursache lag wohl in der Verwendung von Bender zum Vereinigen mehrerer physikalischer Platten zu einer logischen, das Bender war für das OS wohl nicht geeignet.

[iDiddi 27]

Da gibt es auch ein Problem im Zusammenhang mit iSCSI. Wo liegen denn die betroffenen Freigaben?

[heinzelrumpel 10]

Da gibt es auch ein Problem im Zusammenhang mit iSCSI. Wo liegen denn die betroffenen Freigaben?

 

Aha! Die Freigaben liegen alle auf einem iSCSI Laufwerk. Wo genau ist dort das Problem?

[iDiddi 27]

Da kommen wir dem Problem doch schon näher ;)

 

Schau mal zum Bleistift hier:

 

shares dissapear after server restart

 

Oder suche einfach mal nach "Shares lost after restart iscsi". Aber Vorsicht, sonst wirst Du von den Ergebnissen erschlagen :D

[iDiddi 27]

Hier noch der entscheidende KB-Artikel von MS, auf dem dort verwiesen wird:

 

File shares on iSCSI devices may not be re-created when you restart the computer

[lefg 276]

Off-Topic:
Da bin ich jetzt aber gespannt. :)