-
Mit nativer AD-Überwachung
-
Mit ADAudit Plus
Vollständige Änderungsüberwachung an Dateien/Ordnern mit ADAudit Plus:
ADAudit Plus bietet Ihnen Berichte an, mit denen Sie mit einem einzigen Klick vollständige Details zu allen Änderungen an Ihren Dateien/Ordner abrufen können. Diese Berichte lassen sich in beliebigen Formaten exportieren, wie CSV, PDF, XML usw. Lassen Sie sich Echtzeit-Berichte an Ihr E-Mail-Postfach oder auf Ihr Mobilgerät senden, um sich über Änderungen an kritischen Dateien oder Ordnern zu informieren. So rufen Sie diese Berichte ab:
Bei ADAudit Plus anmelden → Zur Registerkarte „Datei-Audit“ wechseln → Unter Datei-Auditberichte → auf den Bericht „Alle Datei-/Ordneränderungen“. Wählen Sie den Zeitrahmen aus, in dem Sie alle vorgenommenen Änderungen verfolgen können, und dazu die Domäne, zu welcher der Dateiserver gehört.
-
- Der Bericht liefert die folgenden Details:
-
Name der geänderten Datei bzw. des geänderten Ordners
-
Wer die Änderungen vorgenommen hat
-
Wann die Änderungen gemacht wurden
-
Speicherort der Datei bzw. des Ordners
-
- Der Bericht liefert die folgenden Details:
Natives Verfahren
-
Schritt 1: „Objektzugriffsversuche überwachen“-Richtlinie aktivieren
-
Gruppenrichtlinienverwaltung-Konsole starten (Ausführen → gpedit.msc)
-
Neues Gruppenrichtlinienobjekt erstellen, mit der Dateiserverdomäne verknüpfen; oder vorhandenes Gruppenrichtlinienobjekt bearbeiten, das bereits mit der relevanten Domäne verknüpft wurde.
-
Wechsel zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie.
-
Unter „Überwachungsrichtlinie“ wählen Sie Objektzugriffsversuche überwachen, danach schalten Sie die Überwachung auf Erfolgreich und Fehlgeschlagen ein.
-
Schritt 2: Auditing-Eintrag der jeweiligen Datei bzw. des Ordners bearbeiten
Suchen Sie nach der Datei oder dem Ordner, bei der/dem Sie sämtliche Zugriffsversuche verfolgen möchten. Mit der rechten Maustaste darauf klicken, Eigenschaften aufrufen. Auf der Registerkarte „Sicherheit“ auf „Erweitert“ klicken.
In den Erweiterten Sicherheitseinstellungen wechseln Sie zur Registerkarte „Auditing“, klicken dort zum Hinzufügen eines neuen Überwachungseintrags auf Hinzufügen.
-
Im Dialogfenster zum Auditing-Eintrag für Active Directory geben Sie folgende Details ein:
- Prinzipal: Geben Sie die Namen der Benutzer ein, deren Zugriff Sie überwachen möchten.
- Typ: Wählen Sie den Zugriffstyp, der überwacht werden soll. Vorzugsweise überwachen Sie „Alle“ Änderungen.
- Gilt für: Hier wählen Sie, ob Sie lediglich die Berechtigungsänderungen zu dieser Datei oder für sämtliche Unterordner und Dateien überwachen möchten.
- Grundlegende Berechtigungen: Wählen Sie den Berechtigungstyp, der überwacht werden soll. Klick Sie nach Ihren Anforderungen auf „Erweiterte Berechtigungen“ und wählen Sie „Ordner durchsuchen / Datei ausführen“, „Ordner auflisten/Daten lesen“, „Dateien erstellen/Daten schreiben“, „Ordner erstellen/Daten anhängen“ und „Attribute schreiben“ aus.
-
Schritt 3: Audit-Protokolle im Event Viewer anzeigen
Wenn Benutzer auf die ausgewählte Datei/den ausgewählten Ordner zugreifen und deren/dessen Berechtigungen ändern, wird ein Ereignisprotokoll in der Ereignisanzeige aufgezeichnet. Zum Abrufen dieses Überwachungsprotokolls rufen Sie den Event Viewer auf. Unter Windows-Protokolle wählen Sie den Eintrag „Sicherheit“ aus. Sämtliche Überwachungsprotokolle werden nun wie nachstehend dargestellt im mittleren Bereich angezeigt.
-
Suchen Sie in den Windows-Sicherheitsprotokollen nach Ereignis 4656 mit dem Schlüsselwort „Audit fehlgeschlagen“, um herauszufinden, wer versucht hat, die Datei bzw. den Ordner zu ändern.
Wachsen Ihnen die nativen Audits ein wenig über den Kopf?
Vereinfachen Sie Server-Audits und Reporting mit ADAudit Plus.
Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe