4
Am Windows2003-Fileserver das Kopieren von Dateien überwachen?
Hallo,
ich möchte/soll für einen bestimmten User das Kopieren von Dateien am Fileserver überwachen, schön und gut, aber was genau muss ich denn da eigentlich überwachen? Da gibt es ja verschiedenste Ereignisse:
Vollzugriff
Ordner durchsuchen / Datei ausführen
Ordner aulisten / Datei lesen
Atrribute lesen
erweitere Atrribute lesen
Dateien erstellen / Daten schreiben
etc. pp.
Es geht im Endeffekt darum, nachzuhalten, ob der User vom Fileserver Dateien auf seinen Client kopiert...(Also NICHT Dateien am Fileserver von Ordner A nach Ordner B kopiert o.ä.)
Das wäre doch einfaches Lesen, also Punkt 3 oben aus der Liste, oder?
Vielen Dank für einen "Schubs in die richtige Richtung"!
Marcus
ich möchte/soll für einen bestimmten User das Kopieren von Dateien am Fileserver überwachen, schön und gut, aber was genau muss ich denn da eigentlich überwachen? Da gibt es ja verschiedenste Ereignisse:
Vollzugriff
Ordner durchsuchen / Datei ausführen
Ordner aulisten / Datei lesen
Atrribute lesen
erweitere Atrribute lesen
Dateien erstellen / Daten schreiben
etc. pp.
Es geht im Endeffekt darum, nachzuhalten, ob der User vom Fileserver Dateien auf seinen Client kopiert...(Also NICHT Dateien am Fileserver von Ordner A nach Ordner B kopiert o.ä.)
Das wäre doch einfaches Lesen, also Punkt 3 oben aus der Liste, oder?
Vielen Dank für einen "Schubs in die richtige Richtung"!
Marcus
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169760
Url: https://administrator.de/forum/am-windows2003-fileserver-das-kopieren-von-dateien-ueberwachen-169760.html
Ausgedruckt am: 08.04.2025 um 13:04 Uhr
4 Kommentare
Neuester Kommentar
Oh, oh, viel Spaß ....
Einfach nur das Lesen überwachen liefert ja noch keinen hinreichenden Verdacht, dass die Datei auch kopiert wurde. Du musst dann auch auf dem Client das Schreiben überwachen und zwar für alle Laufwerke. Und dann die Eventlogs beider Computer auswerten.
Worauf willst Du eigentlich hinaus? Geht es vielleicht darum, zu verhindern, dass der User sich Daten auf eine Diskette oder ein USB-Laufwerk kopiert und mitnimmt? Falls, dann kannst Du per GPO den Zugriff auf die Wechseldatenträger sperren.
Einfach nur das Lesen überwachen liefert ja noch keinen hinreichenden Verdacht, dass die Datei auch kopiert wurde. Du musst dann auch auf dem Client das Schreiben überwachen und zwar für alle Laufwerke. Und dann die Eventlogs beider Computer auswerten.
Worauf willst Du eigentlich hinaus? Geht es vielleicht darum, zu verhindern, dass der User sich Daten auf eine Diskette oder ein USB-Laufwerk kopiert und mitnimmt? Falls, dann kannst Du per GPO den Zugriff auf die Wechseldatenträger sperren.
...ist mir klar...
Allerdings kann ich Dateizugriffe auf dem Client nicht überwachen, da es sich um ein Notebook handelt, das sich per VPN zum Fileserver verbindet!
Andererseits kann man ja auch schon vom Kopieren sprechen, wenn eine Exceldatei am Fileserver geöffnet wird, und innhalb der Anwendungen ein Zellbereich kopiert und in eine lokale Arbeitsmappe eingefügt wird --- wo ist nun der geloggte Kopiervorgang am Fileserver????
ICh werde das meinem Chef mal ausreden müssen
)
Trotsdem Danke + Grüße
Marcus
Allerdings kann ich Dateizugriffe auf dem Client nicht überwachen, da es sich um ein Notebook handelt, das sich per VPN zum Fileserver verbindet!
Andererseits kann man ja auch schon vom Kopieren sprechen, wenn eine Exceldatei am Fileserver geöffnet wird, und innhalb der Anwendungen ein Zellbereich kopiert und in eine lokale Arbeitsmappe eingefügt wird --- wo ist nun der geloggte Kopiervorgang am Fileserver????
ICh werde das meinem Chef mal ausreden müssen
)Trotsdem Danke + Grüße
Marcus
Ja, das mit dem reinen Öffnen der Dokumente kommt noch hinzu. Und am Client kann man sehr wohl das Öffnen von Dokumenten überwachen, egal ob Notebook oder nicht. Wenn es Domänenmitglieder sind, dann kann man das per GPO aktivieren. Wenn nicht, dann kann man das aktiviren, wenn man lokale Adminrechte hat. Das geht dann auch über Netzwerk. Und das lokale Eventlog kann man auch über Netzwerk einsehen, Adminrechte vorausgesetzt.
Ich torpediere das ganze hier mal: Überwachst du dann auch das Erstellen von Screenshots?
User sind _sehr_ einfallsreich beim Überlisten von technischen Restriktionen/Überwachungen...
Cheers,
jsysde
User sind _sehr_ einfallsreich beim Überlisten von technischen Restriktionen/Überwachungen...
Cheers,
jsysde
