je remonte le problème car j'ai exactement le meme soucis sous 2003 serveur.
En fait lorsque j'active l'audit (succes, echec, ou les deux) sur la GPO de mon default domain (ou bien dans celle de mon DC directement), j'ai bien les logs pour les SACL que j'ai crée sur tel ou tel repertoire (par exemple E:\partage\users pour qui j'ai crée un audit specifique me remontant la liste des actions de modifications ou de suppressions par tel ou tel user) qui apparaissent dans l'observateur, mais j'ai également tout les acces que fait le serveur sur des fichiers pour lesquels je n'ai défini aucun audit (par exemple tout ce que contient system32 en l'occurence ...)
Ce qui me donne un journal énorme et ingérable.
Quelle est la solution pour n'avoir des remontées que des audit que l'on a crée sur tel ou tel repertoire et uniquement pour les users du domaine ?
merci d'avance.
gegebast
up
gegebast
Bon je commence à voir un peu plus clair dans mes problèmes:
En fait dès que j'active la possibilité de faire de l'audit sur des accès aux objets, je commence à avoir des fichiers audités alors que je n'ai établi aucune règle d'audit sur aucun répertoire. J'ai vérifié chaque fichier qui a été audité et je ne trouve aucune trace d'audit... Exemple de fichiers auditer mmc.exe vnc.exe svchost.exe.
Es ce que quelqu'un connait un moyen de lister toutes les différentes règles d'audit ou de réinitiliser toutes les règles ?
gegebast
up
gegebast
Bonjour je dispose un serveur de domaine W2000 et je souhaite pouvoir auditer la supression des fichiers d'un de mes répertoires sur un de mes serveur.
Après plusieures recherches j'ai mis en place ce que je voulais:
J'ai activé via la stratégie de sécurité du domaine l'audit d'accès aux objetx puis j'ai activé l'audit sur le repertoire voulu, avec comme options suppression.
Et là j'ai bien les évènements de sécurité voulu et même un peu trop...
En fait toutes les actions accès à un objet sont répertoriés en plus pour toutes les actions qui sont effectués sur le serveur lui même!
Je m'explique: par exemple j'ouvre la console mmc sur le servveur je vois even560 et 562 comme quoi j'ai ouvert la console. Pareil pour les fichiers.
Je ne sais pas d'ou ça peu venir quelq'un à une idée?
