Tipps, Tricks und Tools

»Wir möchten das Active Directory nutzen, um herauszufinden, wer eine bestimmte Datei von einem Dateiserver gelöscht hat. Wie geht das?«

Als Erstes müssen Sie das Auditing für Objektzugriffs-Ereignisse im Active Directory (AD) aktivieren, damit das Sicherheitsprotokoll Löschaktionen als Ereignisse aufzeichnet. Führen Sie dazu die Datei "gpmc.msc" aus, erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und wechseln Sie über "Bearbeiten" zu "Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Erweiterte Überwachungsrichtlinienkonfiguration / Überwachungsrichtlinien". Hier definieren Sie "Erfolg und Fehler" bei "Dateisystem überwachen" und "Handleänderung überwachen". Als Nächstes verknüpfen Sie das neue GPO mit Ihrer Domäne per Rechtsklick auf <Ihre Domäne>, "Vorhandenes Gruppenrichtlinienobjekt verknüpfen" und "neues GPO auswählen".

Jetzt führen Sie den Befehl gpupdate/ force über die Windows-Eingabeaufforderung aus, damit das neue GPO sofort wirksam wird und Sie die Systemzugriffskontrollliste für NTFS-Objekte einrichten können. Dazu öffnen Sie im Windows-Explorer die Eigenschaften eines Verzeichnisses oder einer Datei, wechseln zur Registerkarte "Sicherheit", klicken dort auf "Erweitert" und gehen zum Reiter "Überwachung". Per Rechtsklick auf "Dateifreigabe überwachen" kommen Sie zu den Eigenschaften. Im Register "Sicherheit" wechseln Sie zu "Erweitert / Überwachung" und klicken auf "Hinzufügen". Treffen Sie folgende Auswahl: "Prinzipal: Jeder", "Typ: Alle" und "Anwenden auf: Diesen Ordner, Unterordner und Dateien". Wählen Sie dann "Erweiterte Berechtigungen: Unterordner und Dateien löschen" und "Löschen" aus.

Um sich aufgezeichnete Ereignisse

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.