none
audit, Share, Eventeintrag obwohl kein Audit definiert ist. RRS feed

  • Frage

  • Hallo zusammen,

    wir haben mittels LocalGroupPolicy Audit Success aktiviert.

    dann haben wir auf Laufwerk D: in einem Ordner - Security Audit - Everyone full gesetzt.

    leider erscheinen im Eventlog Security jede Menge andere Laufwerke obwohl auf diesem Verzeichnis oder Share (Daten oder F:\daten) kein Audit aktiviert ist.

    A network share object was checked to see whether client can be granted desired access.
     
    Subject:
     Security ID:  company\xyz
     Account Name:  xyz
     Account Domain:  company
     Logon ID:  0x2727195

    Network Information: 
     Object Type:  File
     Source Address:  10.10.01.1
     Source Port:  49222
     
    Share Information:
     Share Name:  \\*\daten$
     Share Path:  \??\F:\daten
     Relative Target Name: xyz\Eigene Dateien\test\test


    Chris


    • Bearbeitet -- Chris -- Freitag, 14. Oktober 2016 08:22
    Freitag, 14. Oktober 2016 08:22

Antworten

  • > leider erscheinen im Eventlog Security jede Menge andere Laufwerke
    > obwohl auf diesem Verzeichnis oder Share (Daten oder F:\daten) kein
    > Audit aktiviert ist.
     
    Share Auditing ist nicht identisch mit NTFS Auditing - schau Dir mal die
    Erklärungen dazu genau an :) "Bei Aktivierung dieser
    Richtlinieneinstellung wird der Zugriff auf alle freigegebenen Ordner
    des Systems überwacht."
     
    Relevant ist hier das Wörtchen "alle".
     
    Freitag, 14. Oktober 2016 08:45

Alle Antworten

  • > leider erscheinen im Eventlog Security jede Menge andere Laufwerke
    > obwohl auf diesem Verzeichnis oder Share (Daten oder F:\daten) kein
    > Audit aktiviert ist.
     
    Share Auditing ist nicht identisch mit NTFS Auditing - schau Dir mal die
    Erklärungen dazu genau an :) "Bei Aktivierung dieser
    Richtlinieneinstellung wird der Zugriff auf alle freigegebenen Ordner
    des Systems überwacht."
     
    Relevant ist hier das Wörtchen "alle".
     
    Freitag, 14. Oktober 2016 08:45
  • Lösung war Advanced Audit in den GPOs (neu seit 2012 glaube ich)

    Chris


    • Bearbeitet -- Chris -- Freitag, 4. November 2016 18:25
    Freitag, 4. November 2016 18:25
  • nach ein Info, falls jemand einmal diese Thread liest. Auch bei Domain Controllern gibt es eine lokale Policy gpedit.msc. Diese zieht offenbar vor der "Default Domain Controller Policy" da war auch noch Audit aktiviert.

    Chris

    Samstag, 12. November 2016 12:21