6
Überwachungsrichtlinie
Hallo in die Runde!
Bei uns sind in letzter Zeit aus ungeklären Gründen Schülerordner verschwunden. Um den Grund herauszufinden, habe ich auf unserem DomänenController (zugleich Fileserver) jetzt eine Überwachungsrichtlinie eingerichtet, die Löschvorgänge protokollieren soll. Das tut sie auch, aber:
Mir wäre es am liebsten, wenn nur dann ein Ereignisprotokolleintrag erzeugt wird, wenn im Verzeichnis d:\benutzerdaten\schüler ein Unterordner gelöscht wird. Kann ich das umsetzen, und wenn ja, wie?
Schöne Grüße von der Elbe!
Winfried
Bei uns sind in letzter Zeit aus ungeklären Gründen Schülerordner verschwunden. Um den Grund herauszufinden, habe ich auf unserem DomänenController (zugleich Fileserver) jetzt eine Überwachungsrichtlinie eingerichtet, die Löschvorgänge protokollieren soll. Das tut sie auch, aber:
- werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe. Das überschwemmt fast das EventLog.
- werden auch "unechte" Löschvorgänge protokolliert. Windows (oder NTFS) sieht z.B. ein Umbennenen einer Datei als zwei Vorgänge, nämlich als Löschen der alten und Schreiben der neuen Datei. Das macht es später schwer, die echten Löschvorgänge herauszufiltern, da sie die gleiche Ereignis-ID haben.
Mir wäre es am liebsten, wenn nur dann ein Ereignisprotokolleintrag erzeugt wird, wenn im Verzeichnis d:\benutzerdaten\schüler ein Unterordner gelöscht wird. Kann ich das umsetzen, und wenn ja, wie?
Schöne Grüße von der Elbe!
Winfried
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368694
Url: https://administrator.de/forum/ueberwachungsrichtlinie-368694.html
Ausgedruckt am: 04.04.2025 um 11:04 Uhr
6 Kommentare
Neuester Kommentar
Servus Winfried.
Und dann an folgende Anleitung zum Ausfiltern halten
Protokollierung gelöschter Dateien auf einem Fileserver
Dann klappt's auch mit dem Nachbarn
.
Grüße Uwe
Zitat von @Winfried-HH:
Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!- werden leider auch andere Dateioperationen gelöscht, obwohl ich gemäß dieser Anleitung unter "Zugriff" nur "Löschen" sowie "Unterverzeichnisse und Dateien löschen" ausgewählt habe.
Und dann an folgende Anleitung zum Ausfiltern halten
Protokollierung gelöschter Dateien auf einem Fileserver
Dann klappt's auch mit dem Nachbarn
.Grüße Uwe
Zitat von @colinardo:
Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!
Das ist ja auch genau falsch, du musst hier die Propagation-Flags nicht auf Dateien setzen sondern nur auf Ordner und Unterordner keine Dateien!
Das ist mir dann auch schon aufgefallen
Und dann an folgende Anleitung zum Ausfiltern halten
Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Zitat von @Winfried-HH:
Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Richtig, aber so gesehen trägt dann das Umbenennen auch einen Teil zur Verwirrung bei wenn ein Ordner nicht mehr so heißt wie früher.Das verhindert aber auch nicht, dass mir z.B. das Umbenennen eines Ordners als Löschen angezeigt wird, weil NTFS-technisch das Verzeichnis mit dem alten Namen gelöscht wird, oder?
Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.
Zusätzliche Schattenkopien und Backups tragen ebenfalls zum Sicherungskonzept mit bei.
Schau dir auch einmal die File Server Ressource Manager Rolle an, mit der lassen sich solche und noch viel mehr Szenarien gezielt automatisieren.
Zitat von @colinardo:
Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.
Also lieber einen Eintrag mehr als zu wenig. Man greift ja auch nur wirklich drauf zurück wenn mal was weg ist. Man sollte ja primär die Rechte der Ordner richtig setzen und nicht mit dem Log hinterherräumen.
Stimmt, aber wir haben keine Ahnung, warum ab und zu ganze Schülerordner verschwinden. Eigentlich haben eben nur der jeweilige Benutzer, die Lehrer und die Admins entsprechende Rechte - oder eben der allmächtige "System". Das Loggen soll praktisch helfen, den Grund zu finden.
Zusätzliche Schattenkopien und Backups tragen ebenfalls zum Konzept mit bei.
Leider merken die Kids oft erst nach einem Monat, dass sie sich nicht mehr anmelden können. Im Grundschulbereich wird ja nicht jede Woche am PC gearbeitet. Und dann sind die Schattenkopien und Backups schon überschrieben. Klar könnte man ein aufwendigeres Backupkonzept fahren, aber so wichtig sind die Daten bei den Kleinen dann auch meistens nicht. Am Standort der "Großen" läuft sowieso einiges anders.
Das Loggen soll praktisch helfen, den Grund zu finden.
Das macht es ja auch, ob da nun ein paar mehr Einträge drin sind die Umbenennen waren, spielt ja keine Rolle wenn man gezielt nach Ordnern sucht. Da hilft dir dann auch das Powershell-Skript zum gezieltem Suchen in den Ergebnissen bzw. den Pfaden des Logs, da brauchst du nicht "manuell" in den Logs suchen, das wäre ja Zeitverschwendung hoch drei.
