Maik 10 Geschrieben 18. Februar 2012 Melden Teilen Geschrieben 18. Februar 2012 Hallo ans Board, wir haben in unseren Tests für die Auditierung Unterkategorien mit aditpol explizit aktivert. Die auditpol Überwachung bzw. die Kategorien scheinen unterschiedliche Logeinträge unter 2008 und 2008 R2 zu erzeugen. Kennt jemand eine offizielle Dokumentation der Subkategories bzw. einer offiziellen Dokumentation der Unterschiede? Im Technet finden wir nur Verweise auf 2008 R2. Getestet haben wir Subkategorien, welche unter 2008 nicht im Log erscheinen, die gleiche Konfiguration unter 2008 R2 zeigt die erwarteten Einträge. Kennt jemand dafür die Hintergründe bzw. eine offizielle Doku zu den Unterschieden. Zitieren Link zu diesem Kommentar
Maik 10 Geschrieben 22. Februar 2012 Autor Melden Teilen Geschrieben 22. Februar 2012 Ich haben nun einige Tests mal durchgeführt. Hintergrund der Aktivierung ist die granulare Aktivierung einzelnerEvents bspw. das Anlegen eines Benutzers. Wird die Richtlinie per auditpol aktivert, werden die betreffenden Aktionen im Security Log aufgezeichnet. Startet der Server neu, werden keine diesbezügliche Events aufgezeichner. Hat jemand Erfahrungen, warum diese nach einem Neustart nicht mehr funktioniert? Per Auditpol kann ich die Einstellungen abfragen, welche noch immer gesetzt sind. Hat jemand eine Idee? Vielen Dank an Euch. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. Februar 2012 Melden Teilen Geschrieben 23. Februar 2012 Hi Maik, in 2008 werden die Einträge per Auditpol immer wieder überschrieben. Entweder beim Neustart oder nach 16 Stunden (standardmäßig). Siehe dazu auch: Getting the Effective Audit Policy in Windows 7 and 2008 R2 - Ask the Directory Services Team - Site Home - TechNet Blogs Lösung für Vista / 2008 wäre zum Beispiel ein geplanter Task, der bei Auftreten eines bestimmten Events läuft. Darin könnte eine Batch-Datei aufgerufen werden, die ungefähr so aussehen könnte: How to use Group Policy to configure detailed security auditing settings for Windows Vista-based and Windows Server 2008-based computers in a Windows Server 2008 domain, in a Windows Server 2003 domain, or in a Windows 2000 domain. Für W7 / 2008 R2 kannst Du die Audit-GPOs nutzen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Maik 10 Geschrieben 23. Februar 2012 Autor Melden Teilen Geschrieben 23. Februar 2012 Danke, ich habe noch einmal bei MS nachgefragt. Es scheint erst am R2 sauber zu funktionieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.