É possível rastrear quem ou o que mudou uma permissão compartilhada?

Navegue suas respostas
1

Hoje recebi um e-mail de um dos meus usuários perguntando por que ele não conseguiu acessar a pasta compartilhada em um de nossos servidores.

Exemplo: \\ servername \ share \ = acesso negado.

Quando verifiquei as permissões de compartilhamento na pasta, fiquei surpreso ao ver que o usuário havia sido removido da lista "permissões compartilhadas".

Agora minha pergunta é: É possível rastrear quem ou o que excluiu os usuários compartilham permissões na pasta?

Estudei os diferentes registros de eventos, mas não consegui encontrar nenhuma indicação de quem alterou as permissões de compartilhamento.

Atenciosamente Martin

    
por user45574 15.07.2010 / 11:11

2 respostas

1

1)

Habilite a auditoria na diretiva de segurança local no servidor nome do servidor. Selecione a opção Acesso do objeto de auditoria (sucesso e falha) na política de auditoria.

cmd - > secpol.msc - > Políticas locais --- > Política de Auditoria --- > Auditar o acesso a objetos --- > alterar "Configuração de Segurança" de "sem Auditoria" para "Sucesso, Falha"

Deve existir o separador "Explain This Setting" para a sua leitura

2)

Configure a SACL em \ servername \ share. Especifique a auditoria da permissão Controle Total para Todos.

Clique com o botão direito do mouse na pasta no Windows Explorer --- > escolha Propriedades - > guia Segurança --- > btn "Avançado ..." - > tab Auditoria

Os registros de auditoria: eventvwr.msc - > Segurança

    
por 15.07.2010 / 13:06
0

Eu suspeito que a alteração das permissões de compartilhamento seja um uso de privilégio. Você pode ativar a auditoria de uso de privilégios.

    
por 10.09.2010 / 09:30

Tags

RHEL 5 Hyper-V Guest - Não é possível sincronizar com o NTP após o upgrade do kernel Erro SCVMM 10644 - Arquivos WAIK ausentes no GAC