W2K Аудит изменения прав у пользователя в АД?
Модератор: Модераторы
Сообщений: 5
• Страница 1 из 1
terror » 26 окт 2004, 16:50
ТОВАРИЩИ СПЕЦЫ....
Интересует следующий вопрос:
Известно что В2К позволяет проводить аудит доступа к файловым (и не только объектам) для чего довольно легко и просто настраиваються параметры аудита в SECURITY и включаяется oject access audit политика. В результате имеем доаольно достаточную информацию о действиях пользователей с объектами.
Внимание ворос:
1. Существует ли возможность аудита изменеия прав у пользователя к объектам реестра (в моем случае интересует изменеие прав (permitions) у администраторов Exchange сервера)?
ПРИМ: Да при просмотре security у контейнера Exchange организации есть advanced и есть auditing там даже можно изменять параметры (как и в случае с файлами), но аудит уже активируется политикой directory service access. В результате еще врубаеться аудит всего АД и в логи сыпется информация о доступе ко всему АД, т.к. параметры аудита поумолчанию наследуються ко всем контейнерам.
Я предполагаю что, для того чтобы настроить адудит конкретного контейнера трубется очистка параметров аудита у всего АД, но данная задача не представляется мне возможной. Фильтр журнала тоже не спасает положение. account audit политика отбражает только создание или удаление объектов (пользователи, компьютеры, группы и пр).
Люди есть ли решение данной задачи? Или я делаю чего не так?
Интересует следующий вопрос:
Известно что В2К позволяет проводить аудит доступа к файловым (и не только объектам) для чего довольно легко и просто настраиваються параметры аудита в SECURITY и включаяется oject access audit политика. В результате имеем доаольно достаточную информацию о действиях пользователей с объектами.
Внимание ворос:
1. Существует ли возможность аудита изменеия прав у пользователя к объектам реестра (в моем случае интересует изменеие прав (permitions) у администраторов Exchange сервера)?
ПРИМ: Да при просмотре security у контейнера Exchange организации есть advanced и есть auditing там даже можно изменять параметры (как и в случае с файлами), но аудит уже активируется политикой directory service access. В результате еще врубаеться аудит всего АД и в логи сыпется информация о доступе ко всему АД, т.к. параметры аудита поумолчанию наследуються ко всем контейнерам.
Я предполагаю что, для того чтобы настроить адудит конкретного контейнера трубется очистка параметров аудита у всего АД, но данная задача не представляется мне возможной. Фильтр журнала тоже не спасает положение. account audit политика отбражает только создание или удаление объектов (пользователи, компьютеры, группы и пр).
Люди есть ли решение данной задачи? Или я делаю чего не так?
domovoy » 26 окт 2004, 17:27
terror
Ну или убирай наследование политик аудита на вложенных контейнерах, или применяй фильтры по нужному коду события в журнале.
Можео попробывать применить анализатор логов журнала третьей фирмы, есть такие.
И что ты конкретно хочешь отследить не делают ли админы на сервере Exchange что либо минуя тебя ?
Ну или убирай наследование политик аудита на вложенных контейнерах, или применяй фильтры по нужному коду события в журнале.
Можео попробывать применить анализатор логов журнала третьей фирмы, есть такие.
И что ты конкретно хочешь отследить не делают ли админы на сервере Exchange что либо минуя тебя ?
Правильно заданный вопрос - это уже половина ответа.
Harry33 » 26 окт 2004, 17:59
terror
Помести сервер с Exhange в отдельное OU настрой на нем требуемые политики аудита. В свойствах данных политик укажи - не перекрывать.
Помести сервер с Exhange в отдельное OU настрой на нем требуемые политики аудита. В свойствах данных политик укажи - не перекрывать.
Знания, которые нельзя применить - бесполезны
terror » 27 окт 2004, 08:40
| Цитата (domovoy @ 26.10.2004 - 16:27) |
| terror
Ну или убирай наследование политик аудита на вложенных контейнерах, или применяй фильтры по нужному коду события в журнале. Можео попробывать применить анализатор логов журнала третьей фирмы, есть такие. И что ты конкретно хочешь отследить не делают ли админы на сервере Exchange что либо минуя тебя ? [/quote] 1. Пробовал - самое плохое, что там видно только то что в контейнере таком - то была совершена запись и усе. А чего там записывали не понятно.  , но надо поробовать... еще разок.
2. Ты совершенно прав, я именно хочу знать меняли ли админы настройки прав в определенных местах АД. (Админов много, а я один) 
ПРИМ: Походу винда не подлазит под "наши" понятия безопасности....
terror
как и сказали в соседнем посте, рассписывай четкую структуры АД, создавай подразделения, разноси туда пользователей и сервера и четко задавай делигорованиие прав управления соответствующими подразделениями. И все станет подлазить под понятия.  Правильно заданный вопрос - это уже половина ответа.
Сообщений: 5
• Страница 1 из 1
Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |