none
visualizzatore eventi

    Question

  • Salve a tutti vorrei chiedervi un aiuto,

    ho un server win 2003 con AD, client misti xp win 7,

    ho abilitato tramite gpo auditing sia sulle cartelle che su i logon, ora pero è successo che i client non riuscivano ad entrare perchè gli dava un messaggio di errore che il file di log sicurezza è pieno.

    Sono entrato nelle gpo sono andato su computergonfiguration\windows settings\securiry settings\event log e ho definito che gli ultimi 3 campi cioè:
    retention method for application log, security e system,
    siano in modalita di sovrascrittura in caso di bisogno.

    ora però succede che se mi collego su un client sia xp che 7 vado nell'event view non mi fa accedere al log di security mi dice accesso negato, mentre gli altri li sfoglio...?

    come posso fare affinchè gli utenti possano vedere anche il reg di sicurezza??

    grazi eper l'eventuala aiuto

    Monday, April 02, 2012 9:24 AM

Answers

All replies

  • Aspetta, ragioniamo un secondo.

    La policy di logon, in un dominio, riguarda solo i domain controllers.

    L'audit per i files e le cartelle, in genere, riguarda solo i file server dove hai informazioni che ritieni critiche.

    Tra l'altro questo secondo tipo di audit va attivato a livello di proprietà delle varie cartelle e/o files.

    Mi pare che tu stia applicando l'audit indiscriminatamente a tutte le macchine della tua rete, il che mi pare francamente poco praticabile.

    Dovresti linkare la policy di audit ad uno a opiù O.U. che contengano le macchine che vuoi effettivamente controllare.


    Fabrizio Volpe
    MVP Directory Services
    MCITP Windows 2008
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    Monday, April 02, 2012 9:42 AM
  • Salve Fabrizio, siccome la necessità dell'amministratore era di sapere se determinati utenti accedevano o modificavano dei file in determinate cartelle ho pensato di abilitatre l'audit sulle cartelle, quindi ho fatto le seguenti operazioni:

    1) ho abilitato a livello di dominio (in gpo sarebbe la prima voce dell'alberatura..spero che sia corretto come l'ho identificata), in local policy  e poi audit policy.

    2) sulla cartella di un server che voglio controllare sono andato sulle propietà, ho selezionato audit è ho selezionato i vari controlli.Ho fatto bene?

    Poi sono sempre andato a livello di dominio principale nelle gpo di event log (come da primo post), e ho settato di riscrivere i log in caso di necessità...perchè gli utenti ricevevano un errore al login

    spero di aver settato bene le policy...

    detto questo spero di aver applicato bene le policy (senno i suggerimenti sono bene accetti :-) ), ma non capisco perchè gli utenti non riescono a visualizzare l'event view sicurezza...dove sbaglio??   

    Monday, April 02, 2012 9:59 AM
  • The Security log is designed for use by the system. However, users can read and clear the Security log if they have been granted the SE_SECURITY_NAME privilege (the "manage auditing and security log" user right). For more information, see Privileges

    ref: http://msdn.microsoft.com/en-us/library/windows/desktop/aa363658(v=vs.85).aspx


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Monday, April 02, 2012 10:26 AM
    Moderator
  • Ciao Edoardo,

    grazie ho risolto, come da tuo link...

    Tuesday, April 03, 2012 12:56 PM
  • grazie del feedback, ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Tuesday, April 03, 2012 2:42 PM
    Moderator