Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Szenario überwachen Sie den Zugriff auf Dateien im Ordner "Finanzdokumente" mithilfe der Finanzrichtlinie, die Sie in der Bereitstellung einer zentralen Zugriffsrichtlinie (Demonstrationsschritte) erstellt haben. Wenn ein Benutzer, der nicht auf den Ordner zugreifen darf, dennoch versucht, darauf zuzugreifen, wird die Aktivität in der Ereignisanzeige aufgezeichnet. Zum Testen dieses Szenarios sind die folgenden Schritte erforderlich.
Aufgabe | BESCHREIBUNG |
---|---|
Konfigurieren des globalen Objektzugriffs | In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller. |
Aktualisieren von Gruppenrichtlinieneinstellungen | Melden Sie sich am Dateiserver an, und wenden Sie die Gruppenrichtlinienaktualisierung an. |
Überprüfen, ob die globale Objektzugriffsrichtlinie angewendet wurde | Zeigen Sie die relevanten Ereignisse in der Ereignisanzeige an. Die Ereignisse sollten Metadaten für das Land und den Dokumenttyp umfassen. |
Konfigurieren der globalen Objektzugriffsrichtlinie
In diesem Schritt konfigurieren Sie die globale Objektzugriffsrichtlinie auf dem Domänencontroller.
So konfigurieren Sie eine globale Objektzugriffsrichtlinie
Melden Sie sich beim Domänencontroller DC1 als contoso\administrator mit dem Kennwort pass@word1 an.
Zeigen Sie im Server-Manager auf "Extras", und klicken Sie dann auf "Gruppenrichtlinienverwaltung".
Doppelklicken Sie in der Konsolenstruktur auf Domänen, doppelklicken Sie auf contoso.com, klicken Sie auf Contoso, und doppelklicken Sie dann auf Dateiserver.
Klicken Sie mit der rechten Maustaste auf "FlexibleAccessGPO", und klicken Sie auf "Bearbeiten".
Doppelklicken Sie auf "Computerkonfiguration", doppelklicken Sie auf "Richtlinien", und doppelklicken Sie dann auf "Windows-Einstellungen".
Doppelklicken Sie auf "Sicherheitseinstellungen", doppelklicken Sie auf "Erweiterte Überwachungsrichtlinienkonfiguration", und doppelklicken Sie dann auf "Überwachungsrichtlinien".
Doppelklicken Sie auf "Objektzugriff", und doppelklicken Sie dann auf "Dateisystem überwachen".
Aktivieren Sie das Kontrollkästchen "Folgende Ereignisse konfigurieren ", aktivieren Sie die Kontrollkästchen "Erfolg " und "Fehler ", und klicken Sie dann auf "OK".
Doppelklicken Sie im Navigationsbereich auf " Globale Objektzugriffsüberwachung", und doppelklicken Sie dann auf "Dateisystem".
Aktivieren Sie das Kontrollkästchen "Diese Richtlinieneinstellung definieren ", und klicken Sie auf "Konfigurieren".
Klicken Sie im Feld "Erweiterte Sicherheitseinstellungen für globale Datei SACL " auf "Hinzufügen", dann auf " Prinzipal auswählen", geben Sie "Jeder" ein, und klicken Sie dann auf "OK".
Wählen Sie im Feld "Überwachungseintrag für globale Datei SACL" im Feld "Berechtigungen" die Option "Vollzugriff" aus.
Klicken Sie im Abschnitt " Bedingung hinzufügen " auf " Bedingung hinzufügen ", und wählen Sie in den Dropdownlisten [Ressource] [Abteilung] [Jeder von] [Wert] [Finanzen] aus.
Klicken Sie dreimal auf OK, um die Konfiguration der Richtlinieneinstellung für die globale Objektzugriffsüberwachung abzuschließen.
Klicken Sie im Navigationsbereich auf Objektzugriff, und doppelklicken Sie im Ergebnisbereich auf Handleänderung überwachen. Klicken Sie auf "Konfigurieren der folgenden Überwachungsereignisse", "Erfolg" und "Fehler", klicken Sie auf "OK", und schließen Sie dann das Flexible Access-GPO.
Aktualisieren von Gruppenrichtlinieneinstellungen
In diesem Schritt aktualisieren Sie die Gruppenrichtlinieneinstellungen, nachdem Sie die Überwachungsrichtlinie erstellt haben.
So aktualisieren Sie die Gruppenrichtlinieneinstellungen
Melden Sie sich beim Dateiserver FILE1 als contoso\Administrator mit dem Kennwort pass@word1 an.
Drücken Sie die WINDOWS-TASTE+R, und geben Sie cmd ein, um ein Eingabeaufforderungsfenster zu öffnen.
Hinweis
Wenn das Dialogfeld "Benutzerkontensteuerung " angezeigt wird, bestätigen Sie, dass die angezeigte Aktion ihren Vorstellungen entspricht, und klicken Sie dann auf "Ja".
Geben Sie gpupdate /force ein, und drücken Sie dann die EINGABETASTE.
Stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde.
Nachdem die Gruppenrichtlinieneinstellungen angewendet wurden, können Sie überprüfen, ob die Überwachungsrichtlinieneinstellungen richtig angewendet wurden.
So stellen Sie sicher, dass die globale Objektzugriffsrichtlinie angewendet wurde
Melden Sie sich am Clientcomputer CLIENT1 als %%amp;quot;Contoso\MReid%%amp;quot; an. Wechseln Sie zum Ordner HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents, und ändern Sie das Word-Dokument 2.
Melden Sie sich am Dateiserver FILE1 als %%amp;quot;contoso\administrator%%amp;quot; an. Öffnen Sie die Ereignisanzeige, navigieren Sie zu Windows-Protokollen, wählen Sie "Sicherheit" aus, und vergewissern Sie sich, dass Ihre Aktivitäten zu Überwachungsereignissen 4656 und 4663 geführt haben (auch wenn Sie keine expliziten Überwachungs-SACLs für die Dateien oder Ordner festgelegt haben, die Sie erstellt, geändert und gelöscht haben).
Wichtig
Ein neues Anmeldeereignis wird auf dem Computer generiert, auf dem sich die Ressource befindet. Dies geschieht im Namen des Benutzers, für den der effektive Zugriff überprüft wird. Um beim Analysieren von Sicherheitsüberwachungsprotokollen für Benutzeranmeldeaktivitäten zwischen Anmeldeereignissen, die aufgrund des effektiven Zugriffs generiert wurden, und solchen, die aufgrund einer interaktiven Netzwerkbenutzeranmeldung generiert wurden, zu unterscheiden, werden die Informationen zur Identitätswechselebene eingeschlossen. Wenn das Anmeldeereignis aufgrund des effektiven Zugriffs generiert wird, ist die Identitätswechselebene %%amp;quot;Identität%%amp;quot;. Eine interaktive Netzwerkbenutzeranmeldung generiert normalerweise ein Anmeldeereignis mit der Identitätswechselebene %%amp;quot;Identitätswechsel%%amp;quot; oder %%amp;quot;Delegierung%%amp;quot;.