Escludere Administrator dagli audit di Active Directory (Group Policy)...

venerdì 08 aprile 2011 - 20.25
Tag Elenco Tags  Windows Server 2003

cianoz Profilo | Newbie

Ciao a tutti
Ho attivato l'audit per la voce "accesso agli oggetti" da Group Policy sul mio domain controller (Windows 2003 r2).
Lo scopo è quello di poter risalire a chi ha eventualmente eliminato dei file nelle cartelle condivise su quel server (che fa da file server).
Il problema è che prima ancora di andare a impostare alcuna opzione di controllo su alcuna cartella (Proprietà > Protezione > Avanzate > Controllo) mi ritrovo con il Registro Eventi riempito con centinaia di log relativi a operazioni fatte da Administrator, principalmente (o forse solo) su C:\Windows\System32\mmc.exe.

Da quel che vedo è un alternarsi di un evento 560 ad uno 562, come questi:

Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso agli oggetti
ID evento: 560
[Data / Ora...]
Utente: [NOMEDOMINIO]\Administrator
Computer: PDC
Descrizione:
Apertura oggetto:
Server oggetto: Security
Tipo oggetto: Key
Nome oggetto: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Security
ID dell'handle: 916
ID dell'operazione: {0,310290486}
ID del processo: 16296
Nome file immagine: C:\WINDOWS\system32\mmc.exe
Nome utente primario: Administrator
Dominio primario: [il mio dominio]
...
Maschera di accesso: 0x2

---------------------------------------------

Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso agli oggetti
ID evento: 562
[Data / Ora...]
Utente: [nome-dominio]\Administrator
Computer: PDC
Descrizione:
Handle chiuso:
Server oggetto: Security
ID dell'handle: 916
ID del processo: 16296
Nome file immagine: C:\WINDOWS\system32\mmc.exe

Nella cartelle C:\WINDOWS o C:\WINDOWS\System32 non è impostato nessun audit nelle proprietà/security, quindi questa parte di audit scatta per qualche meccanismo interno di Windows che a me sfugge.

E' possibile escludere queste registrazioni, ovvero quelle relative all'utente Administrator per l'"accesso agli oggetti"?

Grazie
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5