117109
15.01.2015
2169
2
0
Überwachung von Dateien - Löschversuche Ereignisanzeige
Hallo Leute,
ich habe ein Problem und hoffe ihr könnt mir helfen.
Also hier die Aufgabestellung:
Es soll ein Order auf PC 1 mit dem Namen "YX" erstellt werde. Darin liegt 1 Datei (Inhalt ist unrelevant).
Der Ordner ist für den Administrator mit Vollzugriff freigegeben, Benutzer "Mustermann" hat Leserechte.
Die Berechtigungen sind genauso erstellt.
Vom PC 2 aus soll der Zugriff getestet werden (funktioniert alles).
Nun sollen in der Ereignisanzeige die fehlgeschlagenen Löschversuche des Benutzers dokumentiert werden.
Hier bin ich wie folgt vorgegangen:
1. Berechtigungen des Ordners erstellt und gepüft - ok
2. in der lokalen Richtlinie: Computerkonfiguration/Windows Einstellungen/ Sicherheitseinstellungen/ Lokale Richtlinien/Überwachungsrichtlinie
"Objektzugriffsversuche überwachen" den Haken bei "Fehlerhaft" gesetzt
3. Mit einem gpupdate bestätigt
4. Den Ordner der Überwacht werden soll den "Domänen-Benutzer" hinzugefügt, den Haken bei "LÖSCHEN" gesetzt
5. Danach habe ich von dem PC 2 aus die Löschversuche gestartet, was in einem Fehler hinausgelaufen ist (fehlende Berechtigungen), was ja auch so sein soll.
6. Dann habe ich bei PC 1 in die Ereignianzeige unter "Sicherheit" geschaut, ob ich den Eintrag sehen kann.
Ende vom Lied, ich sehe keinen Eintrag außer "Überwachung ist fehlerhaft".
Ich habe beide Rechner neu gestartet, mehrmals ein gpupdate gemacht, es funktioniert nicht.
Als Hintergrund, PC 1 ist der DC und PC 2 halt PC 2. Auf beiden Rechnern läuft Windows Server 2012 R2.
Ich hoffe ihr könnt mir weiterhelfen, da ich so langsam am Verzweifeln bin *seufz*
Grüße
ich habe ein Problem und hoffe ihr könnt mir helfen.
Also hier die Aufgabestellung:
Es soll ein Order auf PC 1 mit dem Namen "YX" erstellt werde. Darin liegt 1 Datei (Inhalt ist unrelevant).
Der Ordner ist für den Administrator mit Vollzugriff freigegeben, Benutzer "Mustermann" hat Leserechte.
Die Berechtigungen sind genauso erstellt.
Vom PC 2 aus soll der Zugriff getestet werden (funktioniert alles).
Nun sollen in der Ereignisanzeige die fehlgeschlagenen Löschversuche des Benutzers dokumentiert werden.
Hier bin ich wie folgt vorgegangen:
1. Berechtigungen des Ordners erstellt und gepüft - ok
2. in der lokalen Richtlinie: Computerkonfiguration/Windows Einstellungen/ Sicherheitseinstellungen/ Lokale Richtlinien/Überwachungsrichtlinie
"Objektzugriffsversuche überwachen" den Haken bei "Fehlerhaft" gesetzt
3. Mit einem gpupdate bestätigt
4. Den Ordner der Überwacht werden soll den "Domänen-Benutzer" hinzugefügt, den Haken bei "LÖSCHEN" gesetzt
5. Danach habe ich von dem PC 2 aus die Löschversuche gestartet, was in einem Fehler hinausgelaufen ist (fehlende Berechtigungen), was ja auch so sein soll.
6. Dann habe ich bei PC 1 in die Ereignianzeige unter "Sicherheit" geschaut, ob ich den Eintrag sehen kann.
Ende vom Lied, ich sehe keinen Eintrag außer "Überwachung ist fehlerhaft".
Ich habe beide Rechner neu gestartet, mehrmals ein gpupdate gemacht, es funktioniert nicht.
Als Hintergrund, PC 1 ist der DC und PC 2 halt PC 2. Auf beiden Rechnern läuft Windows Server 2012 R2.
Ich hoffe ihr könnt mir weiterhelfen, da ich so langsam am Verzweifeln bin *seufz*
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259955
Url: https://administrator.de/forum/ueberwachung-von-dateien-loeschversuche-ereignisanzeige-259955.html
Ausgedruckt am: 11.05.2025 um 07:05 Uhr
2 Kommentare
Neuester Kommentar
Mh mit scheint keiner folgen zu können :p
Ok bin jetzt soweit, dass ich die Richtlinie auch noch einmal bei "Default Domain Controllers Policy" gesetzt.
Jetzt bekomme ich Ergebnisse. Aber ich verstehe die nicht ganz.
Hier die Punkt wo ich "Scheiter":
1. Schlüsselwörter: "Überwachung gescheitert"
2. Wenn ich in die Details reinschaue, steht jedoch etwas weiter unten:
Ergebnis der Zugriffsprüfung:
DELETE: Nicht gewährt
Ist das jetzt richtig wie ich das gemacht habe oder ist die Überwachung falsch?
Ok bin jetzt soweit, dass ich die Richtlinie auch noch einmal bei "Default Domain Controllers Policy" gesetzt.
Jetzt bekomme ich Ergebnisse. Aber ich verstehe die nicht ganz.
Hier die Punkt wo ich "Scheiter":
1. Schlüsselwörter: "Überwachung gescheitert"
2. Wenn ich in die Details reinschaue, steht jedoch etwas weiter unten:
Ergebnis der Zugriffsprüfung:
DELETE: Nicht gewährt
Ist das jetzt richtig wie ich das gemacht habe oder ist die Überwachung falsch?
ja ! ;)
