von Hohenstein 10 Geschrieben 2. Februar 2004 Melden Teilen Geschrieben 2. Februar 2004 Hallo zusammen, Kennt wer bzw gibt es ein Tool dass im AD sämtliche Änderungen, Löschungen, etc. mit dem entsprechenden Benutzernamen loggt? Ich will damit endlich mal rausfinden, wer immer Daten von uns verschwinden (Löschen oder Verschieben) lässt. Danke Michael Zitieren Link zu diesem Kommentar
Caylep 10 Geschrieben 2. Februar 2004 Melden Teilen Geschrieben 2. Februar 2004 Gegenfrage ! Warum machst du das nicht mittels Objektüberwachung ? NTFS machts doch möglich ! Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 3. Februar 2004 Autor Melden Teilen Geschrieben 3. Februar 2004 Hab ich leider noch nicht gehört. Wie funktioniert das? Zitieren Link zu diesem Kommentar
Caylep 10 Geschrieben 3. Februar 2004 Melden Teilen Geschrieben 3. Februar 2004 Ganz einfach....Voraussetzung ist, dass deine Festplatte, aúf der sich die zu überwachenden Daten befinden, in NTFS formatiert sind. Mit FAT 32 gehts nicht. A. Die Festplatte ist läuft unter FAT 32, nicht NTFS. Kein Problem, lässt sich einfach und OHNE Datenverlust ändern: Eingabeaufforderung öffnen (DOS-Box). Befehl eingeben: convert c: /fs:ntfs /v Der Befehl wird dann ausgeführt...sollte es sich um die Betriebssystemplatte handeln, wird es erst beim Neustart ausgeführt. Der Weg zurück ohne Datenverlust zu FAT32 ist nicht möglich. Geht dann nur mittels Neuformatierung. Hinweis: Solltest du noch ein altes Betriebsystem (win 9x) auf dem Rechner haben, hat dieses System keinen Zugriff mehr auf die Platte. B. Systemsteuerung/Ordneroptionen öffnen...dort unter Registerkarte Option "Einfache Dateifreigabe verwenden" deaktivieren (falls notwendig)...sonst kann man die Sicherheitseinstellungen einzelner Dateien nicht definieren. C.So...ich gehe jetzt mal von einem Clientrechner mit WinXP aus. Öffne unter Systemsteuerung/Verwaltung die lokale Sicherheitsrichtlinie...dort gehts weiter zu lokale Richtlinien/Überwachungsrichtlinien. Dort klickst du Objektzugriffsversuche überwachen an und machst einen Haken bei erfolgreich und fehlgeschlagen. Übernehmen_Fertig. Jetzt ist die Objektzugriffsüberwachung mal grundsätzlich aktiviert Begriffserkärung: Erfolgreich - jeder, der erfolgreich eine Aktion an einer Datei ausführen konnte, wird protokolliert (z.B. Löschen). fehlgeschlagen - jeder, dem es nicht gelungen ist, eine Aktion auszuführen, wird protokolliert. D. Jetzt musst du die Überwachung auch noch für die Dateien aktivieren, die du überwachen möchtest. Dazu gehst du in die Eigenschaften des zu überwachenden Ordners/Datei. In der Registerkarte "Sicherheit" klickst du auf "erweitert". Nun gehts zur Registerkarte "Überwachung"...dort auf "hinzufügen klicken. Jetzt muss man definieren, wer überwacht werden soll...in deinem Fall wäre es wohl die Gruppe "jeder". Im nächsten Schritt gilt es zu definieren, welche Aktionen überwacht werden sollen, also lesen, schreiben löschen, etc... Definieren, übernehmen....fertig ! E. Jetzt willst du sicher wissen, wer sich an den Dateien vergreift... Ab gehts Über die Systemsteuerung/Verwaltung zur Ereignisanzeige...Unter "Sicherheit" findest du alle Überwachungseinträge detailliert aufgelistet. Das war jetzt viel Schreiberei....ist aber wirklich nicht kompliziert ! Du willst ja eh vom MCP zum MCSE...ranhalten, lernen...da kommt das hier wieder vor ! Solltest du noch Fragen haben...keine Scheu ! P.S. Das gilt auch für Domänenrichtlinien...Wie gesagt, alles Thema der Schulung ! Gruß, Caylep Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 3. Februar 2004 Autor Melden Teilen Geschrieben 3. Februar 2004 Hallo Caylep, ich kann die Option unter WinXP zwar finden, aber leider auf dem Win2k Server nicht. Und gerade da bräuchte ich sie ja! Dort sind die Freigaben. (sogar auf NTFS!) gehe ich recht in der Annahme, dass es reichen würde die Protokollierung nur am Server zu aktivieren. Und ich sehe dann im eventvwr unter Sicherheit den Eintrag?! Der rest hört sich ja einfach an... :-) achja... ich plane nicht von MCP zu MCSE sondern von nichts über den MCP zum MCSE :) Ich hab also viiiielll vor. Danke fürs Helfen!!! Michi Zitieren Link zu diesem Kommentar
Caylep 10 Geschrieben 3. Februar 2004 Melden Teilen Geschrieben 3. Februar 2004 Wichtig ist letztendlich, dass die Registerkarte "Sicherheit" zu sehen ist....darauf kommts an.... Zitieren Link zu diesem Kommentar
von Hohenstein 10 Geschrieben 4. Februar 2004 Autor Melden Teilen Geschrieben 4. Februar 2004 Ok, reden wir nicht mehr darüber! Ich bin wohl gestern abend auf der Leitung gestanden. Also, es klappt soweit. Nur hab ich nun Probleme bei der Interpretation: Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume2\test Neue Handlekennung: 2112 Vorgangskennung: {0,70399052} Prozesskennung: 8 Primärer Benutzername: XXX$ Primäre Domäne: XXX Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: vorname.nachname Clientdomäne: XXX Anmeldekennung des Clients: (0x0,0x36868CA) Zugriffe: LÖSCHEN SYNCHRONISIEREN Attribute lesen Rechte: - Es kommt oft Löschen als Zugriff vor wenn garnicht gelöscht wurde! Gibt es ne Möglichkeit sich nur verschiebungen und Löschungen anzeigen zu lassen. Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.