Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
Windows Server 2000/2003/2008, IIS
Escludere Administrator dagli audit di Active Directory (Group Policy)...
venerdì 08 aprile 2011 - 20.25
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
Elenco Tags
Windows Server 2003
cianoz
Profilo
| Newbie
1
messaggi | Data Invio:
ven 8 apr 2011 - 20:25
Ciao a tutti
Ho attivato l'audit per la voce "accesso agli oggetti" da Group Policy sul mio domain controller (Windows 2003 r2).
Lo scopo è quello di poter risalire a chi ha eventualmente eliminato dei file nelle cartelle condivise su quel server (che fa da file server).
Il problema è che prima ancora di andare a impostare alcuna opzione di controllo su alcuna cartella (Proprietà > Protezione > Avanzate > Controllo) mi ritrovo con il Registro Eventi riempito con centinaia di log relativi a operazioni fatte da Administrator, principalmente (o forse solo) su C:\Windows\System32\mmc.exe.
Da quel che vedo è un alternarsi di un evento 560 ad uno 562, come questi:
Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso agli oggetti
ID evento: 560
[Data / Ora...]
Utente: [NOMEDOMINIO]\Administrator
Computer: PDC
Descrizione:
Apertura oggetto:
Server oggetto: Security
Tipo oggetto: Key
Nome oggetto: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Security
ID dell'handle: 916
ID dell'operazione: {0,310290486}
ID del processo: 16296
Nome file immagine: C:\WINDOWS\system32\mmc.exe
Nome utente primario: Administrator
Dominio primario: [il mio dominio]
...
Maschera di accesso: 0x2
---------------------------------------------
Tipo evento: Operazioni riuscite
Origine evento: Security
Categoria evento: Accesso agli oggetti
ID evento: 562
[Data / Ora...]
Utente: [nome-dominio]\Administrator
Computer: PDC
Descrizione:
Handle chiuso:
Server oggetto: Security
ID dell'handle: 916
ID del processo: 16296
Nome file immagine: C:\WINDOWS\system32\mmc.exe
Nella cartelle C:\WINDOWS o C:\WINDOWS\System32 non è impostato nessun audit nelle proprietà/security, quindi questa parte di audit scatta per qualche meccanismo interno di Windows che a me sfugge.
E' possibile escludere queste registrazioni, ovvero quelle relative all'utente Administrator per l'"accesso agli oggetti"?
Grazie
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !