Настраиваем политики аудита и безопасности

[MART]

Случилось вот такое проишествие.
Некоторый юзверь в папке exchange (расшаренная на всех) удалил документ, ест-но резервные копии с этой папки не снимаются. Так вот теперь есть претензтии, пришлось тыкнуть носом хозяина документа в инструкцию, где неписано, что в данная папка  не резервируется, и ответственность за сохранность в ней документов админы не несут.

Вот такой вопросик:
Реально ли настроить политики таким образом, чтобы в logи записывалось  под какой учетной записью была удалена какая-либо папка или документ?

И что это за политика?

[Egor]

Рекомендуется настроить разрешения на доступ, а не аудит.

Про аудит доступа к объектам (Audit object access) и его настройку написано во встроенной справке Windows.

[MART]

Рекомендуется настроить разрешения на доступ, а не аудит.

Про аудит доступа к объектам (Audit object access) и его настройку написано во встроенной справке Windows.

[snapback]3032[/snapback]

Разрешения на доступ выставлены, но есть папки для групповой работы (разрешения высиавлены на пользователей определенной группы) и папка с общими документами (разрешено всем и все).
Так вот с этих папок по инструкции я не снимаю резервные копии,  но бывают преценденты, когда кто-то удаляет чужие файлики.

Тут либо-нужно
1 посмотреть кто удаляет,причем это происходит регулярно, а все хлопают глазами и никто не сознается, хотя я точно знаю что это один из 3-5 человек. (Ну я бы тоже несознался, кому охота люленй получать, да и они наверное думают так"Ага сидишь гамаешся? На те пароблемку ищи документы:))")
2 Сделать так, что-бы удалять папку или документ мог только владелец. (Думаю нои недодумаются поменять владельца, хотя у них на это итак прав нет).

Впрочем аудит я с горем пополам настроил, дай бог мне терпения ковырятся в этих логах:)

А вот как со вторым пунктом, делал кто-нибудь?

[stranger]

2 Сделать так, что-бы удалять папку или документ мог только владелец. (Думаю нои недодумаются поменять владельца, хотя у них на это итак прав нет).


А вот как со вторым пунктом, делал кто-нибудь?

[snapback]3033[/snapback]

На сколько помню в винде есть группа СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - может с ее помощью все реализовать. И установить расширенные права, где создавать, читать, и изменять можно всем, а удалять только группе СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

Я бы попробовал...

[MART]

Да что-то граматика у меня страдает, когда тороплюсь:(
Буду повнимательнее.

Что за группа можно поподробнее, я такую не нашел?

[stranger]

Да что-то граматика у меня страдает, когда тороплюсь:(
Буду повнимательнее.

Что за группа можно поподробнее, я такую не нашел?

[snapback]3040[/snapback]

Э... Группа, как группа у меня в 2000 сервере отображается...
Как я понимаю - с помощью нее можно настроить пермишены для владельцев файлов... Сам пока не пользовал, но думаю - это оно...

Правда у меня все компы в домене - может поэтому, есть такая группа...

[stranger]

Кстати попробуй посмотреть не в AD, а на вкладке безопасность для какой-нибудь папки. Там когда нажмешь добавить будет много групп, которые в списке пользователей и групп AD не отображаются, а смысл их скорее всего можно понять из документации...
Еще можно поскать в FAQ по винде может там такой вопрос уже рассмтривался...

[MART]

Кстати попробуй посмотреть не в AD, а на вкладке безопасность для какой-нибудь папки.

[snapback]3042[/snapback]

Группы там те же, но спасибо за мысль,
Сделаю так на вкладке безопасность для всех сделаю чтение и запись, а удаление и изменения оставлю только для одного пользователя, которого и назначу ответственным за эту папку:))

[MART]

Э... Группа, как группа у меня в 2000 сервере отображается...
Как я понимаю - с помощью нее можно настроить пермишены для владельцев файлов... Сам пока не пользовал, но думаю - это оно...

Правда у меня все компы в домене - может поэтому, есть такая группа...

[snapback]3041[/snapback]

У меня тоже все в домене, кстати в 2000

[stranger]

У меня тоже все в домене, кстати в 2000

[snapback]3044[/snapback]

Странно... У меня тоже 2000. Правда сейчас у меня уже есть 2003 сервер вторым контролером, но насколько я помню эта группа у меня и раньше была...

Вот скриншот с моей системы - ftp://perfel.tusur.ru/foto.jpg

Правда у меня еще ресорс кит стоит, но это на это вроде влиять не должно...

Кстати, просматривал вкладку безопасности я на контролере домена...

[MART]

Думаю оня для этих целей неподойдет:)

[MART]

Данная группа просто имет право настраивать политики безопасности,
Поэтому лучше ограничить безопасностью, как я писал выше.
А для того, чтобы так делалось автоматом, увы пока знаний у меня маловато.

[MART]

Вот еще вопрос.
Кто-нибудь настраивал политику паролей.
Сложностей с этим нет, просто хотелось бы узнать работает ли все это?

И еще как лучше сделать что бы пользователи сами меняли пароль или лучше применить что-нибудь для генерации паролей. И какие для этого подходят утилитки, причем надо так чтобы админ (то есть я ) не знал пароля пользователя?

[stranger]

Вот еще вопрос.
Кто-нибудь настраивал политику паролей.
Сложностей с этим нет, просто хотелось бы узнать работает ли все это?
Я настраивал... Уставнавливал минимальную длину пароля, установки сложности и похожести на предыдущий. Так же менял период действия пароля...

В принципе работает...

И еще как лучше сделать что бы пользователи сами меняли пароль или лучше применить что-нибудь для генерации паролей. И какие для этого подходят утилитки, причем надо так чтобы админ (то есть я ) не знал пароля пользователя?

[snapback]3051[/snapback]

Если это пароли на вход в систему, то лучше чтобы меняли сами... Просто ограничить политиками минимальное количество символов и может поставить настройку проверки сложности, хотя это мало поможет...

Если будешь генерить прогой, то скорее всего они эти пароли будут чаще куда-нибудь записывать, а это уже потенциальная утечка паролей...

Настрой политику и разъясни какие лучше пользовать пароли...

Большинство юзверей не понимают, нафиг нужна безопасность...

[MART]

Большинство юзверей не понимают, нафиг нужна безопасность...

[snapback]3056[/snapback]

Вот с этим полностью согласен, они думают, что мы админы сидим и звереем, от нечего делать. А когда начинается разбор кто удалил папку пока я был в отпуске? Агя смотрим логи и видем что, с точки зрения системы, уделил его он сам. Вывод, админ отмазался, пользователь сам кому-то джал поарль:)

[stranger]

Данная группа просто имет право настраивать политики безопасности,
Поэтому лучше ограничить безопасностью, как я писал выше.
А для того, чтобы так делалось автоматом, увы пока знаний у меня маловато.

[snapback]3050[/snapback]

Хм... Могет быть... Могет быть... Я же говорил, что не пробывал...
Ну да ладно... Хотя странно ведь должна же быть возможность поставить, что удалять может только создатель...

Тагда как выход на этой шаре сделать подпапки где для каждого пользователя
и поставить туда права на удаления только одному пользователю, а на всю шару сделать права изменения на группу... Могет так прокатит...

[stranger]

Хотя я вот тут подумал... Тогда зачем в винде есть такая закладка в безопасности, как владелец? Ведь странно, что им нельзя управлять... Надо все-таки попробовать может эта группа поможет, а то как-то странно, что есть группа и ее позволяют добавлять именно на папки и файлы, а не в политики...

[MART]

Тогда зачем в винде есть такая закладка в безопасности, как владелец?

[snapback]3060[/snapback]

Исходя из этого вопроса я тоже так думаю, что-то должно быть. Но  увы еще не совсем знаю, пройдет время разбереся.
А пока сделал так:
Есть шара для группы.
так вот на вкладке безопасность для группы ВСЕ снимеем галочку удалить  и остальные ненужные. В итоге все могут записать, а вот изменить документ или удалить  у них не получится.

Все что остается добавить тут же пользователей(ля) которые могут все эту бодягу удалить.

Например у меня есть папка для групповой работы Group, в кт работают  пользователи A,B,C,D,
В все могут в эту папку записывать информацию. в ней же есть папки A,B,C,D для каждого из них, в которых они тоже могут все у друг друга посмотреть, или дописать, а вот удалить может только пользователь A-В соответственно.
Осталось сделать доступ руководителю этой группы на удаление файлов в корне папки GROUP, при этом из папок A-D не сможет.
Мысль ясна?

[MART]

Вот щас вычитал, зачем нужен владелец, цитирую:

"....Каждый объект раздела NTFS имеет владельца, а владелец - это пользователь, который создал эту папку. Владелец контролирует доступ к этому файлу или папке и может запретить доступ к ним любому пользователю...."

Следовательно, он может изменять полномочия, чтобы использовать эту папку только для себя, ограничив пользование ею другим пользователям.
"после этого даже администратор увидит сообщение: Доступ запрещен, если попытается открыть эту папку"


Источник Windows server 2000 Справочник администратора
Ч.Рассел, Ш. Кроуфорд, Дж. Джеренд. Москва 2004г.  стр 287-289


От себя:

Осталось научить пользователей самих разграничивать доступ:)
Во лафа- сделал общую шару для всех и нихай они сами ее делят - МЕЧТА АДМИНА!

Кстати если такое случилось, то в принципе легко можно поменять владельца на себя.