none
Zjištění přihlášených uživatelů domény v minulosti, například včera - Win server 03

    Dotaz

  • Dobrý den,

    nevím, jak přesně tento dotaz nazvat, ale snad to z nadpisu půjde pochopit.

    Prosímvás, dostal jsem za úkol zjistit, kdo včera mazal z našeho firemního serveru nějaké soubory v jedné složce. Existuje nějaký způsob, jak na to přijít? Na serveru je nainstalovaný MS Windows Server 2003, SP2.

    Děkuji za jakoukoliv odpověd...

    Honza

    27. května 2010 6:36

Odpovědi

Všechny reakce

  • Ahoj,
    pokud JSI NEMEL zapnute aditovani (od toho tam je) tak moc sanci nemas :(

    MP

    27. května 2010 7:10
    Moderátor
  • Ahoj, děkuju moc za odpověď ;-)

    Jak prosímtě zjistím, že je aditování zapnuté? Eventuelně, jak je zapnu? Přesně nevím, kde to hledat... :-(

    27. května 2010 7:14
  • - nejrychleji kdyz se podivas do eventlogu / security na serveru na kterem BYLY :( nyni smazane soubory. Pokud by bylo byvalo bylo auditovani zapnute mel bys tam napr. Audit Success - File System - An attempt was made to access an object - kdo, kdy, odkud, co, Access:Delete....
    - zapnes ve vlastnostech slozky: audit dejmetomu Everyone:Delete (success)
    - povolis v GP: computer-windows-local-audit pro objekty ktere potrebujes (POZOR, V TVEM PRIPADE I USPESNE - viz vyse)

    (je samozrejme potreba nejprve vubec POVOLIT I nasledne ZAPNOUT pro konkretni objekt)

    MP

    P.S. Priprav se na VELKE logy, tzn. nastav si primereneou velikost a nejaky filtr/parser a pod at ti z toho nesibne

    27. května 2010 7:19
    Moderátor
  • Dík moc, v eventlogu je nejaktuálnější datum 24.5., takže kdo něco vymazal včera, už asi nezjistím, že? :-(

    V GP jsem teď snad všechno nastavil správně, jen přesně nevím, kde to povolit a zapnout v té konkrétní složce... Na jaké kartě by to tam mělo být?

     

    H.

    27. května 2010 8:10
  • samozrejme security - advanced - auditing. HLAVNE OTESTUJ (zapni audit mazani, vytvor soubor, smaz soubor, zkontroluj log)

    MP

    27. května 2010 8:15
    Moderátor
  • Na té kartě "auditing" mám jen možnost "Přidat oprávnění k auditu", to nastavení "delete (succes) se tam někam musí vypsat nebo by tam měla být možnost na vybrání?

    27. května 2010 8:32
  • Aha, už jsem na to přišel, musí se tam nastavit názvy skupin a uživatelů, u kterých se má ten audit zapisovat :-)

    Mnohokrát děkuji za radu, moc jsi mi pomohl ;-)

     

    Honza

    27. května 2010 8:41
  • Snad jsem pomohl dobre, bohuzel zcela jiste pozde :(

    Prosim oznac za zodpovezene, dik

    MP

    • Označen jako odpověď BNsoft 27. května 2010 10:06
    27. května 2010 9:36
    Moderátor
  • Poradil jsi výborně, děkuju! :-)

    Honza

    27. května 2010 10:06
  • Hlavne opravdu OVER funkcnost, i na "beznem" uzivateli. At nedopadnes jako ta firma co umela zalohovat ale uz ne restorovat :)

    MP

    27. května 2010 10:12
    Moderátor