Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här scenariot granskar du åtkomsten till filer i mappen Ekonomidokument med hjälp av den ekonomiprincip som du skapade i Distribuera en central åtkomstprincip (demonstrationssteg). Om en användare som inte har behörighet att komma åt mappen försöker komma åt den registreras aktiviteten i loggboken. Följande steg krävs för att testa det här scenariot.
| Task | Description |
|---|---|
| Konfigurera global objektåtkomst | I det här steget konfigurerar du den globala objektåtkomstprincipen på domänkontrollanten. |
| Uppdatera grupprincipinställningar | Logga in på filservern och tillämpa grupprincipuppdateringen. |
| Kontrollera att den globala objektåtkomstprincipen har tillämpats | Visa relevanta händelser i händelsevisaren. Händelserna bör innehålla metadata för landet och dokumenttypen. |
Konfigurera en princip för global objektåtkomst
I det här steget konfigurerar du principen för global objektåtkomst i domänkontrollanten.
Så här konfigurerar du en princip för global objektåtkomst
Logga in på domänkontrollanten DC1 som contoso\administrator med lösenordet pass@word1.
Peka på Verktyg i Serverhanteraren och klicka sedan på Grupprinciphantering.
Dubbelklicka på Domäner i konsolträdet, dubbelklicka på contoso.com, klicka på Contoso och dubbelklicka sedan på Filservrar.
Högerklicka på FlexibleAccessGPO och klicka på Redigera.
Dubbelklicka på Datorkonfiguration, dubbelklicka på Principer och dubbelklicka sedan på Windows-inställningar.
Dubbelklicka på Säkerhetsinställningar, dubbelklicka på Konfiguration av avancerad granskningsprincip och dubbelklicka sedan på Granskningsprinciper.
Dubbelklicka på Objektåtkomst och dubbelklicka sedan på Granska filsystem.
Markera kryssrutan Konfigurera följande händelser , markera kryssrutorna Lyckade och misslyckade och klicka sedan på OK.
Dubbelklicka på Global objektåtkomstgranskning i navigeringsfönstret och dubbelklicka sedan på Filsystem.
Markera kryssrutan Definiera den här principinställningen och klicka på Konfigurera.
I rutan Avancerade säkerhetsinställningar för global fil-SACL klickar du på Lägg till, klickar sedan på Välj ett huvudnamn, skriver Alla och klickar sedan på OK.
I fältet Granskningspost för global fil-SACL väljer du Fullständig kontroll i fältet Behörigheter.
I avsnittet Lägg till ett villkor: klickar du på Lägg till ett villkor och i listrutorna väljer du [Resurs] [Avdelning] [Något av] [Värde] [Ekonomi].
Klicka på OK tre gånger för att slutföra konfigurationen av principinställningen för global objektåtkomstgranskning.
I navigeringsfönstret klickar du på Objektåtkomst och dubbelklickar på Hantering av granskningshandtag i resultatfönstret. Klicka på Konfigurera följande granskningshändelser, Framgång och Misslyckande, klicka på OK och stäng sedan flexibel åtkomst GPO.
Uppdatera grupppolicyinställningar
I det här steget uppdaterar du grupppolicyinställningarna efter att du har skapat granskningsprincipen.
Uppdatera grupp-policyinställningar
Logga in på filservern FILE1 som contoso\Administrator med lösenordet pass@word1.
Tryck på Windows-tangenten+R och skriv sedan cmd för att öppna ett kommandotolkfönster.
Note
Om dialogrutan User Account Control (Användarkontokontroll ) visas bekräftar du att den åtgärd som visas är vad du vill ha och klickar sedan på Ja.
Skriv gpupdate /force och tryck sedan på RETUR.
Kontrollera att den globala objektåtkomstprincipen har tillämpats
När grupprincipinställningarna har tillämpats kan du kontrollera att granskningsprincipinställningarna har tillämpats korrekt.
Kontrollera att den globala objektåtkomstprincipen har tillämpats
Logga in på klientdatorn CLIENT1 som Contoso\MReid. Bläddra till mappen HYPERLÄNK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents och ändra Word-dokument 2.
Logga in på filservern FILE1 som contoso\administrator. Öppna Loggboken, bläddra till Windows-loggar, välj Säkerhet och bekräfta att dina aktiviteter resulterade i granskningshändelserna 4656 och 4663 (även om du inte angav explicita gransknings-SACL:er för de filer eller mappar som du skapade, ändrade och tog bort).
Important
En ny inloggningshändelse genereras på den dator där resursen finns för den användare för vilken effektiv åtkomst kontrolleras. När du analyserar säkerhetsgranskningsloggar för användarinloggningsaktivitet, för att skilja mellan inloggningshändelser som genereras på grund av effektiv åtkomst och de som genereras på grund av en interaktiv nätverksanvändarinloggning, inkluderas informationen på personifieringsnivå. När inloggningshändelsen genereras på grund av effektiv åtkomst blir personifieringsnivån Identitet. En interaktiv nätverksanvändarinloggning genererar vanligtvis en inloggningshändelse med personifieringsnivån = Personifiering eller delegering.