在這個案例中,您將使用在部署集中存取原則 (示範步驟) 中建立的財務原則,稽核對 [Finance Documents] 資料夾中檔案的存取。 如果未獲得授權存取資料夾的使用者嘗試存取該資料夾,就會在事件檢視器中擷取該活動。 以下為測試這個案例的必要步驟。
| Task | Description |
|---|---|
| 設定全域物件存取 | 在這個步驟中,您在網域控制站上設定全域物件存取原則。 |
| 更新群組原則設定 | 登入檔案伺服器並套用群組原則更新。 |
| 確認已套用全域物件存取原則 | 在事件檢視器中檢視相關的事件。 事件應該包含國家或地區及文件類型的中繼資料。 |
設定全域物件存取原則
在這個步驟中,您在網域控制站中設定全域物件存取原則。
設定全域物件存取原則
使用密碼 pass@word1 以 contoso\administrator 身分登入網域控制站 DC1。
在伺服器管理員中,指向 [工具],然後按一下 [群組原則管理]。
在主控台樹狀結構中,按兩下 [網域],按兩下 [contoso.com],按兩下 [Contoso],然後按兩下 [檔案伺服器]。
以滑鼠右鍵按一下 FlexibleAccessGPO,然後按一下 [編輯]。
按兩下 [電腦設定],按兩下 [原則],然後按兩下 [Windows 設定]。
按兩下 [安全性設定],按兩下 [進階稽核原則設定],然後按兩下 [稽核原則]。
按兩下 [物件存取],然後按兩下 [稽核檔案系統]。
選取 [設定下列事件] 核取方塊,選取 [成功] 和 [失敗] 核取方塊,然後按一下 [確定]。
在瀏覽窗格中,依序按兩下 [全域物件存取稽核] 和 [檔案系統]。
選取 [定義這個原則設定] 核取方塊,然後按一下 [設定]。
在 [全域檔案 SACL 的進階安全性設定] 方塊中,依序按一下 [新增] 和 [選取主體],輸入 Everyone,然後按一下 [確定]。
在 [全域檔案 SACL 的稽核項目] 方塊中,選取 [權限] 方塊中的 [完全控制]。
在 [新增條件:] 區段中,按一下 [新增條件],然後在下拉式清單中選取 [資源] [部門] [任何的] [值] [財務]。
按一下確定三次,以完成全域物件存取稽核原則設定的組態。
在導覽窗格中,按一下 [物件存取],然後在結果窗格中,按兩下 [稽核控點操作]。 按一下 [設定下列稽核事件]、[成功] 及 [失敗],按一下 [確定],然後關閉彈性存取 GPO。
更新群組原則設定
在這個步驟中,您會在建立稽核原則之後更新群組原則設定。
更新群組原則設定
使用密碼 pass@word1 登入檔案伺服器 FILE1 作為 contoso\Administrator。
按 Windows 鍵+R,然後鍵入 cmd 以開啟命令提示字元視窗。
Note
如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
鍵入 gpupdate /force ,然後按 ENTER。
確認已套用全域物件存取原則
套用群組原則設定之後,您可以確認稽核原則設定已正確套用。
確認已套用全域物件存取原則
以 Contoso\MReid 身分登入用戶端電腦 CLIENT1。 瀏覽至資料夾 HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents,並修改 Word Document 2。
以 contoso\administrator 身分登入檔案伺服器 FILE1。 開啟事件檢視器,流覽至 Windows 記錄,選取 [安全性],並確認您的活動導致稽核事件 4656 和 4663 (即使您未在建立、修改和刪除的檔案或資料夾上設定明確稽核 SACL)。
Important
系統會代表已檢查其有效存取權的使用者,於資源所在的電腦上產生新的登入事件。 分析使用者登入活動的安全性稽核記錄時,為了區分因為有效存取權而產生的登入事件,以及因為互動式網路使用者登入而產生的登入事件,會包含模擬等級資訊。 因為有效存取權而產生登入事件時,模擬等級將會是「識別碼」。 網路互動式使用者登入通常會產生模擬等級為「模擬」或「委派」的登入事件。