Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym scenariuszu przeprowadź inspekcję dostępu do plików w folderze Dokumenty finansowe przy użyciu zasad finansowych utworzonych w temacie Wdrażanie centralnych zasad dostępu (demonstracyjne kroki). Jeśli użytkownik, który nie ma autoryzacji dostępu do folderu, próbuje uzyskać do niego dostęp, działanie zostanie przechwycone w podglądzie zdarzeń. Do przetestowania tego scenariusza wymagane są następujące kroki.
| Task | Description |
|---|---|
| Konfigurowanie dostępu do obiektów globalnych | W tym kroku skonfigurujesz globalne zasady dostępu do obiektów na kontrolerze domeny. |
| Aktualizowanie ustawień zasad grupy | Zaloguj się do serwera plików i zastosuj aktualizację zasad grupy. |
| Sprawdź, czy zastosowano globalne zasady dostępu do obiektów | Wyświetl odpowiednie zdarzenia w podglądzie zdarzeń. Zdarzenia powinny zawierać metadane dla kraju i typu dokumentu. |
Konfigurowanie globalnych zasad dostępu do obiektów
W tym kroku skonfigurujesz globalne zasady dostępu do obiektów na kontrolerze domeny.
Aby skonfigurować globalne zasady dostępu do obiektów
Zaloguj się do kontrolera domeny DC1 jako contoso\administrator przy użyciu hasła pass@word1.
W Menedżerze serwera wskaż pozycję Narzędzia, a następnie kliknij pozycję Zarządzanie zasadami grupy.
W drzewie konsoli kliknij dwukrotnie domeny, kliknij dwukrotnie contoso.com, kliknij pozycję Contoso, a następnie kliknij dwukrotnie serwery plików.
Kliknij prawym przyciskiem myszy pozycję FlexibleAccessGPO, a następnie kliknij polecenie Edytuj.
Kliknij dwukrotnie pozycję Konfiguracja komputera, kliknij dwukrotnie pozycję Zasady, a następnie kliknij dwukrotnie pozycję Ustawienia systemu Windows.
Kliknij dwukrotnie pozycję Ustawienia zabezpieczeń, kliknij dwukrotnie pozycję Konfiguracja zaawansowanych zasad inspekcji, a następnie kliknij dwukrotnie pozycję Zasady inspekcji.
Kliknij dwukrotnie pozycję Dostęp do obiektów, a następnie kliknij dwukrotnie pozycję Przeprowadź inspekcję systemu plików.
Zaznacz pole wyboru Skonfiguruj następujące zdarzenia , zaznacz pola wyboru Powodzenie i niepowodzenie , a następnie kliknij przycisk OK.
W okienku nawigacji kliknij dwukrotnie pozycję Global Object Access Auditing (Inspekcja dostępu do obiektów globalnych), a następnie kliknij dwukrotnie pozycję System plików.
Zaznacz pole wyboru Zdefiniuj to ustawienie zasad , a następnie kliknij przycisk Konfiguruj.
W polu Ustawienia zaawansowane zabezpieczeń dla globalnego pliku SACL kliknij Dodaj, następnie kliknij Wybierz podmiot, wpisz Wszyscy, a potem kliknij OK.
W sekcji Inspekcja wpisu dla pliku globalnego SACL wybierz Pełna kontrola w sekcji Uprawnienia.
W sekcji Dodaj warunek: kliknij pozycję Dodaj warunek , a następnie na listach rozwijanych wybierz pozycję [Zasób] [Dział] [Dowolny] [Wartość] [Finanse].
Kliknij przycisk OK trzy razy, aby ukończyć konfigurację ustawienia zasad inspekcji dostępu do obiektów globalnych.
W okienku nawigacji kliknij pozycję Dostęp do obiektów, a następnie w okienku wyników kliknij dwukrotnie inspekcję manipulowania dojściem. Kliknij Skonfiguruj następujące zdarzenia inspekcji, powodzenie i niepowodzenie, kliknij OK, a następnie zamknij elastyczną GPO dostępu.
Aktualizowanie ustawień zasad grupy
W tym kroku zaktualizujesz ustawienia zasad grupy po utworzeniu polityki audytu.
Aby zaktualizować ustawienia zasad grupy
Zaloguj się na serwerze plików FILE1 jako contoso\Administrator przy użyciu hasła pass@word1.
Naciśnij systemu Windows+R, a następnie wpisz polecenie cmd , aby otworzyć okno wiersza polecenia.
Note
Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika , upewnij się, że wyświetlana akcja jest odpowiednia, a następnie kliknij przycisk Tak.
Wpisz gpupdate /force , a następnie naciśnij ENTER.
Sprawdź, czy zastosowano globalne zasady dostępu do obiektów
Po zastosowaniu ustawień zasad grupy można sprawdzić, czy ustawienia zasad inspekcji zostały zastosowane poprawnie.
Aby sprawdzić, czy zastosowano globalne zasady dostępu do obiektów
Zaloguj się na komputerze klienckim, CLIENT1 jako Contoso\MReid. Przejdź do folderu HIPERŁĄCZE "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents i zmodyfikuj dokument programu Word 2.
Zaloguj się na serwerze plików FILE1 jako contoso\administrator. Otwórz Podgląd zdarzeń, przejdź do dzienników systemu Windows, wybierz pozycję Zabezpieczenia i upewnij się, że działania spowodowały zdarzenia inspekcji 4656 i 4663 (mimo że nie ustawiono jawnych inspekcji SACLs dla plików lub folderów utworzonych, zmodyfikowanych i usuniętych).
Important
Nowe zdarzenie logowania jest generowane na komputerze, na którym znajduje się zasób, w imieniu użytkownika, dla którego sprawdzany jest skuteczny dostęp. Podczas analizowania dzienników inspekcji zabezpieczeń dla aktywności logowania użytkownika, aby odróżnić zdarzenia logowania generowane z powodu efektywnego dostępu od tych wygenerowanych z powodu interaktywnego logowania użytkownika sieciowego, uwzględniane są informacje o poziomie imitacji. Po wygenerowaniu zdarzenia logowania z powodu skutecznego dostępu poziom personifikacji będzie identity. Interaktywne logowanie użytkownika w sieci zazwyczaj generuje zdarzenie logowania z poziomem personifikacji = Personifikacja lub Delegowanie.