Hallo,
wir haben die Zugriffsüberwachung (http://technet.microsoft.com/de-de/library/cc787268%28WS.10%29.aspx) auf einem TestOrdner aktiviert. (zum Test nur den Punkt "Ordner auflisten / Daten lesen") nun es funktioniert wenn ich eine Datei öffne erhalte ich Einträge im Ereignisprotokoll.
Leider auch teilweise wenn ich nur einen Ordner betrete... es wird immer eine oder zwei Dateien protokolliert, obwohl ich diese niemals zum Lesen geöffnet habe. Es ist dabei egal, manchmal ist es eine Word , machmal ein pdf. Ich erkenne da kein Muster.
hier mal ein Beispiel:
Antragsteller:
Sicherheits-ID:TestPC\User
Kontoname: User
Kontodomäne: TestPC
Anmelde-ID: 0xba2f8eb
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: C:\audit\test.lnk
Handle-ID: 0x329c
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Zugriffe: Daten lesen (oder Verzeichnis auflisten)
Zugriffsmaske:0x1
Ein Handle zu einem Objekt wurde angefordert.
Antragsteller:
tSicherheits-ID:TestPC\User
Kontoname: User
Kontodomäne: TestPC
tAnmelde-ID: 0xba2f8eb
Objekt:
Objektserver: Security
Objekttyp: File
Objektname: C:\audit\test.lnk
Handle-ID: 0x329c
Prozessinformationen:
Prozess-ID: 0x4
Prozessname:
Zugriffsanforderungsinformationen:
Transaktions-ID:{00000000-0000-0000-0000-000000000000}
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Zugriffsgründe:READ_CONTROL:Gewährt durch Besitz
SYNCHRONIZE: Gewährt durchD:(A;ID;FA;;;WD)
Daten lesen (oder Verzeichnis auflisten):Gewährt durchD:(A;ID;FA;;;WD)
EA lesen: Gewährt durchD:(A;ID;FA;;;WD)
Attribute lesen:Gewährt durchD:(A;ID;FA;;;WD)
Zugriffsmaske:0x120089
tFür die Zugriffsüberprüfung verwendete Berechtigungen:-
Eingeschränkte SID-Anzahl:0
Ein Netzwerkfreigabeobjekt wurde überprüft, um zu ermitteln, ob dem Client der gewünschte Zugriff gewährt werden kann.
Antragsteller:
Sicherheits-ID:TestPC\User
Kontoname: User
Kontodomäne: TestPC
Anmelde-ID: 0xba2f8eb
Netzwerkinformationen:
Objekttyp: File
Quelladresse: 192.168.99.207
Quellport: 50221
Freigabeinformationen:
Freigabename: \\*\audit
Freigabepfad: \??\C:\audit
Relativer Zielname:test.lnk
Zugriffsanforderungsinformationen:
Zugriffsmaske:0x120089
Zugriffe: READ_CONTROL
SYNCHRONIZE
Daten lesen (oder Verzeichnis auflisten)
EA lesen
Attribute lesen
Ergebnisse der Zugriffsprüfung:
READ_CONTROL: Gewährt durchD:(A;OICI;FA;;;WD)
SYNCHRONIZE: Gewährt durchD:(A;OICI;FA;;;WD)
Daten lesen (oder Verzeichnis auflisten):Gewährt durchD:(A;OICI;FA;;;WD)
EA lesen: Gewährt durchD:(A;OICI;FA;;;WD)
Attribute lesen:Gewährt durchD:(A;OICI;FA;;;WD)