Настройте аудит на Windows Server 2012 R2: вхождение в систему, выходить из системы, открытый, читало, пишет, и т.д. (Sucesses и отказы)
Я позволил контролировать на Windows Server 2012 R2 (контроллер домена), но любил, предупредил, существует только слишком много сгенерированных событий, и он действительно ничего не говорит мне или просто слишком неприятный для просмотра.
События, которые я хочу контролировать (успех и отказы):
- Когда ПК включен
- Когда ПК выключен (и кто)
- Когда пользователь регистрируется вперед и вперед что ПК
- Когда пользователь выходит из системы и на какой ПК
- То, когда пользователь читает, пишет, и т.д. file/folderon файловый сервер
- Связанные с VPN настройки
Я думаю, что те события - те, которые интересуют меня. У меня нет интереса ни к чему, что пользователь делает на компьютере HIS просто вещи, которые имеют отношение к доменному доступу и доступу файлового сервера.
Как я настраиваю это правильно?
Некоторые события проверяются локально на самом ПК (например, включение / выключение питания), некоторые - на сервере (доступ к общему файлу), а некоторые - на DC (учетная запись входит в домен). Не все они связаны с контроллером домена или записаны на нем.
Вы можете включить аудит для локальных событий в локальной групповой политике или включить его в объекте групповой политики домена и связать его с подразделениями. Аудит входа в домен может выполняться только в политиках контроллера домена.
Аудит доступа к файлам должен быть включен в объекте групповой политики, а также в общих папках, которые вы хотите отслеживать (через записи SACL).
Ваш вопрос слишком общий. чтобы получить конкретный ответ, вам необходимо ознакомиться с принципами работы GPO / аудита в Windows в целом.