那些遇到过的问题

对应于远程文件访问的 Active Directory 事件 ID

use*_*980 2 windows-server-2003 windows-server-2008 active-directory

我正在处理在具有数百个 AD 服务器的大型网络上生成的活动目录日志。我无法在日志中找到几个基本网络事件的 Active Directory 事件 ID 示例。

哪些 Active Directory 事件 ID 对应

A) 网络资源,如被特定主机名读取/删除/修改的共享文件。例如,共享文件夹 z://server1/share1 上的 user1 访问电子表格 1.csv

B) 网络服务器已被特定用户访问。例如 user1 登录到财务服务器

Rya*_*ies 5

那是因为没有。这些事件不会显示在域中每个成员服务器的域控制器安全日志中。您能想象如果域上任何地方的每个对象访问都由域控制器记录,那么您的 DC 上的日志会多么疯狂吗?或者更糟糕的是,复制到所有域控制器?

您可以在服务器上进行对象访问审核,并且对象访问将记录在该服务器上。

从那里开始,您可以疯狂地使用事件转发,将所有这些事件从不同的服务器发送到一个中央位置,但我建议将它用于您域上的每个网络访问。将其限制为仅最敏感的文件。

您可以在服务器上的本地安全策略中或通过组策略设置对象访问审核。

归档时间:

查看次数:

88 次

最近记录:

12 年,8 月 前
相关归档
如何清理 AD 中 ACE 中的孤立 SID? 9
将新服务器添加到服务器管理器,得到 Kerberos 错误 0x80090322 8
打印机 ACL 的最佳实践 6
跨 AD 站点的密码复制 6
网络设计与实现 3
如何使域控制器比同一网络上的另一个域控制器更能用于登录? 3
通过 Windows Server 2008 R2 上的组策略完全阻止 Internet 访问 2
域问题 - 计算机似乎“脱离”了域 1
从服务器本地用户组中删除域用户组是否更安全 1
显式拒绝 ACL 是否适用于域管理员帐户? 1
难疑归档
如何使用 Fail2Ban 正确解禁 IP 257
如何查看sshd日志? 158
如何查看 DNS 记录的生存时间 (TTL)? 124
对 postgresql 中的所有表进行 GRANT SELECT 122
为什么在 Red Hat 和 CentOS 的主要版本之间升级如此困难? 72
如何为影子创建 SHA-512 哈希密码? 67
如何扑灭服务器机架中的小火,以尽量减少对周围设备的损坏? 63
从 CloneZilla 图像中提取文件 53
2-4GB 系统上有多少 SWAP 空间? 53
如何将 pcap 文件拆分为一组较小的文件 52