监视 Windows 中的管理共享访问

监视 Windows 中的管理共享访问

在我的公司,管理员使用管理共享(c$、d$ 等)将特定文件部署到 Windows 员工的计算机。虽然这对于部署更新和配置文件是必要的,但它却让管理员可以访问硬盘上的所有文件,而且有些用户可能拥有 IT 部门不应访问的个人或机密信息,因此引发了一些隐私问题。

这就是为什么我想知道是否有任何方法可以从域控制器或用户计算机跟踪管理共享的使用情况(正在访问的文件、访问时间以及访问它们的管理员用户)。

提前致谢!

答案1

域管理员可以访问他们想要的任何内容。通常,如果没有审核,您可能永远不会知道。

您需要在服务器和工作站上启用(配置)审计策略。您可以在服务器和所需计算机的组策略编辑器中执行此操作

这将用于未来的审计,而不是追溯过去。

最好将受保护的文件保存在服务器上受保护的文件夹中(通常会备份),而不是保存在任何工作站上。这样更安全,并能减少您的工作量。

启用审计

转到开始 > Active Directory 用户和计算机。右键单击域并选择新建 > 组。在打开的新建对象 - 组窗口中,输入“ADAuditPlusWS”作为组名称,选中组范围:全局和组类型:安全。单击确定。右键单击新创建的组,然后选择属性 > 成员 > 添加。将所有配置的工作站添加为此组的成员。单击确定。

使用域管理员凭据登录到任何安装了组策略管理控制台 (GPMC) 的计算机。注意:默认情况下,GPMC 不会安装在工作站上和/或在成员服务器上启用,因此我们建议在 Windows 域控制器上配置审核策略。否则,请按照本页中的步骤在所需的成员服务器或工作站上安装 GPMC。

转到开始 > Windows 管理工具 > 组策略管理。在 GPMC 中,选择域并右键单击要为其配置组策略的域。选择在此域中创建 GPO,并在此处链接...在打开的新 GPO 窗口中,输入“_ADAuditPlusWSPolicy”并单击确定。选择 GPO _ADAuditPlusWSPolicy。在安全过滤下,选择经过身份验证的用户。单击删除。在打开的组策略管理窗口中,选择确定。选择 _ADAuditPlusWSPolicy GPO。在安全过滤下,单击添加并选择之前创建的安全组 ADAuditPlusWS。单击确定。

相关内容