Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2003 (Fileserver) - Logfiles zum Erkennen wer was gelöscht hat?!

Mitglied: 17566

17566 (Level 1)

19.09.2005, aktualisiert 21.09.2005, 13603 Aufrufe, 15 Kommentare

Hallo Leute,
wir haben hier bei uns in der Firma einen W2k3-Server als Fileserver im Einsatz.

Es kommt in letzter Zeit vermehrt vor, dass auf einmal Daten weg sind, ich diese zurücksichern
muss und keiner wills gewesen sein!
Kennt ihr ja bestimmt...

Gibts Tools oder Programme die jede Bewegung in der "File-Umgebung" loggen können?
D. h. ich will sehen: Wer hat die Datei geöffnet? Wer hat sie verändert? Wer hat sie gelöscht?
Sowas gibts doch mit Sicherheit.

Eine einfache TXT-Datei in der die Logs enthalten sind wäre schon traumhaft. Mehr will ich gar nicht.
Vor allem will ich nicht den Server mit unötig, großen Programmen belasten...

Noch kurze Info: Die Clients (alle Win2k) melden sich an einem DC (Win2k3) an.

Vielen Dank schonmal.

mfg
Steffen_1985
Mitglied: Metzger-MCP
19.09.2005 um 16:29 Uhr
Du kannst in den NTFS Sicherheitseinstellungen User / Gruppen und so überwachen lassen. Das ist in Windows schon drin und braucht nicht viel Ressorcen, und wird auch noch "Praktischer Weise" im Ereignisprotokoll hinterlegt. Du solltest aber die Logs dann aber ein bissel aufschrauben, so auf 1-2 MB je nach Zugriffen und so ...

Mfg Metzger
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:32 Uhr
Hallo Steffen,


das kannste mit Bordmitteln machen.

Computerrichtlinie (lokale oder wenn Du AD hast eine neue Policy) - Überwachung aktivieren.

Danach das Verzeichnis auf dem Server - Eigenschaften - Überwachung - für jeden die Überwachung der Zugriffe einstellen so wie du es willst - ob nur Ändern oder auch lesen oder löschen überwacht wird - Ergebnisse findest Du dann in der Ereignisanzeige des Servers, wer wo wan wie zugegriffen hat.


Tip: Überwach nicht zu viel und überwach nur Erfolgreiches - sonst wirste nicht wieder froh beim Lesen.

Gruß Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 16:44 Uhr
Sorry,
aber kannste du mir den Weg wie ich zu diesen Einstellungen komme
vielleicht genauer beschreiben?
Bitte warten ..
Mitglied: Leobuck64
19.09.2005 um 16:54 Uhr
Hey Steffen - bin mir jetzt nicht sicher, ob Du mich nochmal meinst - dein letzter Beitrag kam zwar nach meinem - steht aber in meiner Ansicht drüber.

Wenn ja - dann bitte nochmal melden - wird aber eventuell bis morgen dauern, bis nochmal Antwort kommt. Weiß nicht, ob ich heute noch dazu komme, nochmal rein zu schauen - sonst spätestens morgen mehr.

So long - Leo
Bitte warten ..
Mitglied: 17566
19.09.2005 um 17:34 Uhr
Ich habe AD, aber wie erstelle ich eine Policy?
Bitte warten ..
Mitglied: vonHohenstein
19.09.2005 um 18:03 Uhr
Tip: Überwach nicht zu viel und
überwach nur Erfolgreiches - sonst
wirste nicht wieder froh beim Lesen.

Gruß Leo

Dem kann ich nur zustimmen!
Ich hatte das früher auch drin.
Aber 1. frist das Performance ohne Ende
und 2. wie LEO schon sagt: das Auswerten kannst du einfach vergessen!

Wenn Du keine richtige Dokumentenmanagementsoftware einsetzt, wirst du das vermutlich nicht so hinbekommen wie du dir das vielleicht vorstellst.

Grüße Michael
Bitte warten ..
Mitglied: 17566
19.09.2005 um 19:21 Uhr
Ihr versteht mich vielleicht falsch.

Ich will diese erzeugten Logs nicht permanent überwachen, sondern
nur wenn mal wieder ein Kollege anruft und sagt:
"Hier Steffen mir fehlen einige Dateien."

Dann schau ich mir das in den Logs an wann diese gelöscht wurden und
auch nur dann, im Fall der Fälle.

Deswegen wäre ich dankbar wenn mir das einer von euch näher bringen
könnte wie ich dies einstellen kann. Oder hat jemand einen hilfreichen Link parat?
Bitte warten ..
Mitglied: vonHohenstein
20.09.2005 um 07:46 Uhr
Hi Steffen,

ich glaube ich hab dich schon verstanden: Ich hatte den gleichen Anreiz:
http://www.mcseboard.de/showthread.php?s=&threadid=24407

Das Problem besteht nach wie vor: Du brauchst zu lange um daraus etwas abzulesen.
Ich habe eine andere Methode gewählt um die "LÖSCHER" zu bekämpfen.
Auf dem 2k3 Server kannst du mit Volumenschattenkopien ja superschnelle restores fahren.
Ich komm damit momentan ganz gut zurecht.

Grüße Michael
Bitte warten ..
Mitglied: Leobuck64
20.09.2005 um 07:50 Uhr
Hallo Steffen,

die Logs brauchst Du ja auch nicht ständig überwachen - die werden ja nur ständig mitgeschrieben.

Möglicherweise solltest Du die Protokollgröße in den Eigenschaften der Ereignisanzeige (Sicherheitsprotokoll) erhöhen und die Einstellung wählen - bei Bedarf überschreiben. Dann mußt Du mal beobachten, wieviele Tage rückwirkend dann weiterhin Einträge angezeigt werden.

Dann solltest Du eventuell die Logfiles regelmäßig exportieren, damit Du auch später noch auf Ereignisse zugreifen kannst. Das geht alles in der Computerverwaltung - Ereignisprotokoll.

Dann mußt Du wie gesagt eine Richtlinie erstellen - entweder eine lokale Richtlinie über Verwaltung - Lokale Sicherheitsrichtlinie - und zwar auf der Maschine, auf der die Daten liegen - hier mußt Du die Überwachung für erfolgreiche Zugriffsversuche auf Ressorcen aktivieren.
Man kann das auch über`s AD machen, wenn es mehrere Fileserver betrifft. Aber da solltest Du Dir wirklich erst die Mühe machen und dich mit der Thematik auseinandersetzen.

Dann gehst Du in die Eigenschaften der Freigaben ( bzw. Ordner), die Du überwachen willst und gibst hier ein, wessen Zugriff überwacht werden soll (entweder eine Gruppe oder einzelne Benutzer oder Jeder).

Aber wie gesagt - mach nicht zuviel, sonst wird dir jeder Mausklick protokolliert.

Wenn Du dich mit Gruppenrichtlinien auseinandersetzen willst, empfehle ich Dir erstmal folgende Links :

http://www.microsoft.com/germany/technet/datenbank/articles/600884.mspx
http://www.gruppenrichtlinien.de

Viel Erfolg - Gruß Leo
Bitte warten ..
Mitglied: 17566
20.09.2005 um 17:37 Uhr
Erstmal Danke für eure Mühe.

Ich habe jetzt folgendes gemacht:

1. Systemsteuerung
2. Verwaltung
3. Sicherheitsrichtlinie für Domänen
4. Sicherheitseinstellungen
5. Logale Richtlinien
6. Objektzugriffsversuche überwachen auf Erfolgreich und Fehlgeschlagen gestellt.
7. Rechte Maustaste auf den zu überwachenden Ordner
8. Erweiterte Sicherheitseinstellungen für ***
9. Objektname: JEDER
10. Löschen - Häckchen gesetzt, Unterordner und Dateien - Häckchen gesetzt

Laut eurer Hilfe muss dies ja der richtige Weg sein.

Jetzt habe ich testweise ein paar Dateien auf dem Fileserver gelöscht. (Natürlich alte Dateien)

In den Event-Logs unter Sicherheit wird aber mein Löschverhalten nicht geloggt?

mfg
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 08:54 Uhr
Hallo Steffen,

wenn ich Dich richtig verstehe, ist Dein Fileserver auch Domänencontroller.
Auf Domänencontroller wirkt sich die Default Domaincontroller Policy aus und überschreibt die Einstellungen aus der Default Domain Policy.
Standardmäßig ist in Domaincontrollerpolicy die Überwachung deaktiviert - deshalb geht es auf DC`s nicht - mußt du dort auch aktivieren.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 12:26 Uhr
Jetzt gehts.

Ich bin jetzt anstatt auf "Sicherheitsrichtlinien für Domänen" auf "Sicherheitsrichtlinie für Domänencontroller" gegangen .

Warscheinlich hast du das mit deinen Policys gemeint.

Was genau bedeutet jetzt Policy? Versteh ich immer noch nicht ganz.

Danke und Gruss
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 12:52 Uhr
Hery Steffen,

Policys sind Richtlinien (Gruppenrichtlinien), die auf alle oder ausgewählte Computer oder Benutzer angewendet werden können.

Ab W2000 gibt es lokale Richtlinien - die wirken dann nur auf die Maschine, an der sie konfiguriert werden. Wenn man ein AD hat, dann kann man Gruppenrichtlinien von zentraler Stelle aus konfigurieren.

Standardmäßig gibt es sofort nach der Installation des AD eine Richtlinie für Domänen und eine Richtlinie für Domänencontroller. Diese sollten eigentlich auch unverändert bleiben.

Über die Gruppenrichtlinienkonsole kann man dann weitere Richtlinien definieren und auf
bestimmte Strukturen im AD anwenden, wobei hier die Reihenfolge der Verarbeitung der Richtlinien und die Priorität, die diese haben wichtig ist, ob eine Einstellung greift oder nicht.

Das hast Du ja eben selbst gemerkt. Die Domänenpolicy wirkt zwar auf alle Computer der Domäne, aber DC verarbeiten anschließend noch die Domänencontrollerrichtlinie, und die setzt dann einige Einstellungen der ersten Policy wieder außer Kraft.

Vielleicht wirfst Du mal einen Blick auf "gruppenrichtlinien.de" oder bei Microsoft.

Man kann ne Menge mit Richtlinien machen - aber man kann sich auch das Leben schwer damit machen wenn man den Überblick nicht behält.

Gruß Leo
Bitte warten ..
Mitglied: 17566
21.09.2005 um 13:29 Uhr
Werde mich auf jedenfall nochmal genauer mit Thema auseinandersetzen.

Danke nochmal für die Erläuterung.

mfg
Steffen
Bitte warten ..
Mitglied: Leobuck64
21.09.2005 um 13:31 Uhr
Na dann viel Erfolg !!

Gruß Leo
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2003 (Windows Server 2003)
gelöst Frage von ET-StudentExchange Server6 Kommentare

Hallo alle zusammen ich hab auf einem alten Server Microsoft Server 2003 und Exchange 2003 installiert und es läuft ...

Windows Netzwerk
Windows 2003 ohne Domäne
Frage von Nutzer2015Windows Netzwerk1 Kommentar

Hallo, ich benutze Windows 2003 Enterprise Edition als Server und zwei Laptops als Client. Der eine Laptop hat Win7 ...

Windows Server
Rechtevergabe Fileserver Windows 2003
Frage von bluepythonWindows Server1 Kommentar

Hallo zusammen, wir betreiben einen Windows Server 2003 Fileserver mit einem DFS. Im DFS sind alle freigegebenen Ordner verlinkt. ...

Windows Server
Firebird-Server Windows 2003
gelöst Frage von supertuxWindows Server5 Kommentare

Hallo, jadie Zeiten von Server 2003 sind längst vorbei und man sollte ihn nicht mehr einsetzen, nur habe ich ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte29 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell24 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...