Ich muss die Überwachung von Löschaktionen für einen bestimmten freigegebenen Netzwerkordner (und alle seine untergeordneten Ordner) auf einem Windows Server 2008 r2-Computer aktivieren. Das Nächstliegende, was ich finden konnte, war dieser Artikel -http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/aber es bezieht sich auf das Jahr 2003.
In den Kommentaren merkt eine Person an, dass die EventIDs 560 und 564 für Win 2003 nicht relevant sind. Sie legen nahe, dass ein Löschvorgang unter Win 2008 EventID 4656 ist, aber ich finde keines dieser Ereignisse in meinem Sicherheitsprotokoll. Ich habe die Überwachung des Ordners über die Registerkarte „Sicherheit“ aktiviert, nachdem ich mit der rechten Maustaste auf den Ordner geklickt hatte. Ein weiterer Kommentar im zitierten Link legt nahe, dass die Überwachung sowohl auf dem lokalen Dateisystem als auch auf dem Server aktiviert werden muss und dass Gruppenrichtlinien alle lokalen Richtlinien überschreiben könnten.
Ich habe versucht, die Überwachung in den lokalen Sicherheitsrichtlinien unter Lokale Richtlinien\Überwachungsrichtlinie\Objektzugriff überwachen zu aktivieren, aber sie scheint jedes Mal entfernt zu werden, wenn ich die Richtlinienkonsole schließe. Ich bin ein lokaler Administrator auf dem Server, aber kein Domänenadministrator, und stecke an diesem Punkt ein wenig fest. Alle Hinweise werden sehr geschätzt.
Antwort1
Aktivieren Sie den Active Directory-Papierkorb auf dieser Freigabe und löschen Sie nach der Prüfung die Änderungen in Ihrem Active Directory. (Schritt-für-Schritt-Anleitung zum Active Directory-Papierkorb)
Verwenden des Überwachungsmechanismus
In Windows Server 2008 R2 können Sie wie in Windows Server 2008 den Überwachungsmechanismus der Active Directory-Domänendienste (AD DS) mit der Überwachungsrichtlinie „Verzeichnisdienständerungen“ verwenden, um alte und neue Werte zu protokollieren, wenn Änderungen an Active Directory-Objekten und ihren Attributen vorgenommen werden. Wir empfehlen, dass Sie die Überwachung in Ihrer Active Directory-Umgebung implementieren, um alle Objektlöschungen, Objektlöschungszeiten und die Kontonamen zu verfolgen, die diese Objektlöschungen durchführen. Weitere Informationen finden Sie in der Schritt-für-Schritt-Anleitung zur AD DS-Überwachung (http://go.microsoft.com/fwlink/?LinkID=125458).
Aus;Anhang A: Weitere Aufgaben im Active Directory-Papierkorb
Hinweis: Für diese Lösung müssen Sie mehr als ein lokaler Administrator sein.
Antwort2
Konfigurieren Sie zunächst den Objektzugriff überwachen in der AD-Gruppenrichtlinie oder im lokalen GPO des Servers. Die Einstellung finden Sie unter Computerkonfiguration-->Windows-Einstellungen-->Sicherheitseinstellungen-->Lokale Richtlinien-->Überwachungsrichtlinien. Aktivieren Sie die Erfolgs-/Fehlerüberwachung für „Objektzugriff überwachen“.
Konfigurieren Sie anschließend einen Überwachungseintrag für den spezifischen Ordner, den Sie überwachen möchten. Klicken Sie mit der rechten Maustaste auf den Ordner -> Eigenschaften -> Erweitert. Klicken Sie auf der Registerkarte „Überwachung“ auf „Hinzufügen“ und geben Sie dann die Benutzer/Gruppen ein, die Sie überwachen möchten, und die Aktionen, die Sie überwachen möchten. Bei der Überwachung mit Vollzugriff wird jedes Mal ein Überwachungseintrag erstellt, wenn jemand eine Datei öffnet/ändert/schließt/löscht, oder Sie können nur Löschvorgänge überwachen.
Nachdem Sie diese Schritte ausgeführt haben, werden alle Dateilöschungen im Sicherheitsprotokoll des Dateiservers angezeigt:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
Antwort3
Ich weiß, dass dies eine alte Frage ist, aber ich hatte dieselbe Frage und habe nie eine Antwort gefunden. Hoffentlich hilft dies jemand anderem. Ich habe schließlich das Löschereignis mit der Ereignis-ID 4663 gefunden. Hier ist ein Beispiel:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000