Unsere Serie zum Windows Server 2003 zeigt Ihnen die verschiedenen Aspekte und Hilfsmittel auf, die bei der Überwachung eines Servers hilfreich sind. Die Artikelserie hilft Ihnen, die Kernkompetenzen zu erwerben, die nach Meinung von Microsoft für einen Administrator nötig sind, um mit Windows Server 2003 umgehen zu können. Die sechs Teile der Artikelserie beschäftigen sich mit folgenden Themen:
Ereignisse überwachen und analysieren mit Ereignisanzeige und Systemmonitor
Hier lernen Sie, wie Sie mit dem Systemmonitor die Leistung Ihres Windows-Server-2003-Rechners überwachen. Zudem erfahren Sie, wie Sie mit den Protokollen der Ereignisanzeige Fehler finden und identifizieren.
Datei- und Druck-Server verwalten mit Task-Manager, Ereignisanzeige und Systemmonitor
Datenträgerkontingente überwachen
Druckwarteschlangen überwachen
Leistungsbremsen der Server-Hardware identifizieren
Hier lernen Sie, den Datei- und Druckgebrauch mit Hilfe der verschiedenen Tools von Windows Server 2003 zu überwachen. Zudem erfahren Sie, wie man Leistungsbremsen identifiziert.
Fehlerbehebung bei Druckwarteschlangen
Wenn Sie mit Windows Server 2003 arbeiten, sollten Sie unbedingt wissen, wie man Probleme beim Druck beseitigt. Drucken gehört zu den wichtigsten Aufgaben eines Windows-Server-2003-Servers.
Server-Leistung überwachen
Auch mit den Leistungscharakteristika Ihrer 2003-Server sollten Sie sich auskennen. So können Sie potenzielle Probleme identifizieren, ehe diese zu Ausfällen führen.
Eine Server-Umgebung hinsichtlich Applikations-Performance überwachen und optimieren
Speicherleistungsobjekte überwachen
Netzwerkleistungsobjekte überwachen
Datenträgerleistungsobjekte überwachen
Hier lernen Sie, wie man einen Windows Server 2003 überwacht und optimiert, indem man die vier grundlegenden Arten von Leistungsobjekten im Auge behält.
Die Serie basiert auf Kapitel 6 des Buches "MCSA/MCSE - Windows Server 2003 verwalten und warten. Examen70-290" von Lee Scales und John Michell. Erschienen ist es im Verlag Addison-Wesley. Sie können sich das über 600 Seiten starke Buch in unserem Buchshop bestellen oder als eBook beziehen.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |
Allgemeines zur Überwachung
Nachdem Sie die Grundlagen der Ereignisanzeige kennen gelernt haben, setzen Sie dieses Wissen nun in der Praxis ein. Ein Haupteinsatzzweck der Ereignisprotokolle (vor allem von Sicherheit) ist die Überwachung des Zugriffs von Benutzern und Prozessen auf Server-Ressourcen. Im aktuellen Klima von Sicherheitsproblemen und anscheinend wöchentlich neuen Sicherheitslücken ist es sehr wichtig zu wissen, wer Ihre Server wozu benutzt.
Das Aufzeichnen von Benutzer- und Systemaktivitäten im Netzwerk nennt man Überwachung oder Auditing. Bei Windows Server 2003 werden diese Ereignisse im Protokoll Sicherheit verzeichnet. Dies ist eines der Protokolle der Ereignisanzeige, die im letzten Kapitel besprochen wurden.
Praktisch jede Aktivität, die mit einem 2003-Objekt zu tun hat, kann im Protokoll Sicherheit verzeichnet werden. Wenn Sie die Überwachung konfigurieren, müssen Sie festlegen, welche Aktivitäten, das heißt Ereignisse, verfolgt werden sollen, und zwar bei welchen Objekten. Typische Aktivitäten, die verfolgt werden können, sind gültige und ungültige Anmeldeversuche, Erstellen und Öffnen von Dateien und Änderungen von Benutzerrechten. Nachdem die überwachten Ereignisse im Sicherheitsprotokoll verzeichnet wurden, können Sie sie in der Ereignisanzeige betrachten und analysieren.
Bei Windows Server 2003 wird die Sicherheitsbeschreibung zur Kontrolle des Zugriffs auf Objekte verwendet. Die Sicherheitsbeschreibung speichert nicht nur Informationen über die Berechtigungen, sondern auch über die Überwachung. Der Teil der Sicherheitsbeschreibung, der die Überwachungsinformationen speichert, heißt SACL (System Access Control List, Zugriffssteuerungsliste für das System). In der SACL wird angegeben, welche Attribute eines Objekts und welche mit diesen Attributen zusammenhängenden Ereignisse überwacht werden.
Es ist genauso wichtig, Benutzerkonto-Verwaltungsaufgaben wie Zugriffe auf wichtige Netzwerkressourcen zu überwachen. Die im Protokoll Sicherheit gespeicherten Einträge geben dem Netzwerkadministrator eine Zusammenfassung des Netzwerkbetriebs. Man kann sehen, welche Dinge von wem versucht wurden. Das erlaubt nicht nur, Hackangriffe zu entdecken, sondern hilft auch bei weniger spektakulären Aktionen (zum Beispiel gedankenlose Benutzer, die versehentlich wichtige Dateien löschen).
Die meisten Einträge für die Sicherheitsprotokolle zeigen:
Datum und Uhrzeit, zu denen das Ereignis stattfand
Typ des Ereignisses
Benutzerkonto, das das Ereignis auslöste
Erfolg oder Fehlversuch des Ereignisses
Überwachungsrichtlinien
Sie können sich bei Windows Server 2003 die Konfiguration der Überwachung erleichtern, indem Sie eine Überwachungsrichtlinie erstellen. In dieser definieren Sie dann die Ereignisse, die im Sicherheitsprotokoll aufgezeichnet werden sollen. Überwachungsrichtlinien werden wie andere Richtlinien mit den Gruppenrichtlinien-Snap-ins konfiguriert. Im Gegensatz zu den Vorgängerversionen ist bei Windows Server 2003 die Überwachung per Vorgabe aktiviert. Indem Sie verschiedene Ereignisüberwachungskategorien aktivieren, können Sie eine Überwachungsrichtlinie implementieren, die den Sicherheitsansprüchen Ihrer Organisation entspricht.
Der erste Schritt bei der Erstellung einer Überwachungsrichtlinie besteht darin zu entscheiden, welche Ereignisse und Benutzer auf welchen Computern überwacht werden sollen. Im Allgemeinen unterscheiden sich Überwachungsrichtlinien je nach Rolle oder Typ des überwachten Computers. Beispielsweise dürfte die Überwachungsrichtlinie bei einem Domänen-Controller deutlich umfassender als bei einer Workstation sein. Zudem können Überwachungsrichtlinien auf verschiedenen Ebenen definiert werden. Sie müssen also entscheiden, ob sie für den Standort, die OU oder die ganze Domäne gelten sollen.
Dann müssen Sie entscheiden, welche Attribute der überwachten Ereignisse verfolgt werden sollen. Wenn Sie etwa Anmeldeversuche verfolgen, müssen Sie entscheiden, ob erfolgreiche Anmeldungen, gescheiterte Anmeldungen oder beide aufgezeichnet werden sollen. Vergessen Sie dabei nicht: Je mehr Ereignisse Sie überwachen, desto größer wird das Protokoll Sicherheit. Selbst wenn Sie die Größe des Protokolls erhöhen, bleibt das Problem, dass es schwieriger wird, bestimmte Ereignisse aufzufinden.
Nachdem Sie entschieden haben, welche Ereignisse wie überwacht werden sollen, konfigurieren Sie den Container Überwachungsrichtlinie im Snap-in Gruppenrichtlinienobjekt-Editor. Nachdem Sie Ihre Einstellungen vorgenommen haben, verwenden Sie dasselbe Snap-in, um Ihre Überwachungsrichtlinie auf die gewünschten Objekte anzuwenden.
Kategorien der Ereignistypen
Die Ereignistypen, die bei Windows Server 2003 überwacht werden können, lassen sich in die folgenden Kategorien einteilen:
Anmeldeversuche - Dieses Ereignis wird aufgezeichnet, wenn ein Domänen-Controller eine Anfrage erhält, ein Benutzerkonto zu validieren. So erhält der Netzwerkadministrator Aufzeichnungen über alle Benutzerkonten, die sich am Netzwerk angemeldet haben, sowie die Information, wann das geschah und welche Privilegien sie erhielten.
Kontenverwaltung - Dieses Ereignis überwacht die Aktionen des Netzwerkadministrators. Es verzeichnet alle Änderungen, die der Administrator an den Attributen eines Benutzers, einer Gruppe oder eines Computerkontos vornimmt. Es zeichnet auch Ereignisse auf, wenn der Administrator ein Konto erstellt oder löscht. Diese Option ist vor allem in Netzwerken mit mehreren Administratoren nützlich, besonders wenn es Anfänger gibt, auf die Sie sich nicht verlassen können und die Sie im Auge behalten müssen.
Verzeichnisdienstzugriff - Dieses Ereignis überwacht den Benutzerzugriff auf Verzeichnisdienstobjekte. Die Überwachung muss für das spezielle Objekt aktiviert sein, damit die Aktivität protokolliert wird.
Anmeldeereignisse - Dieses Ereignis überwacht An- und Abmeldungen an der lokalen Konsole sowie Netzwerkverbindungen zum Computer.
Objektzugriff - Dieses Ereignis überwacht den Benutzerzugriff auf Objekte im Netzwerk wie Dateien, Ordner oder Drucker. Die Überwachung muss bei dem speziellen Objekt aktiviert sein, damit die Aktivität protokolliert werden kann.
Richtlinienänderungen - Dieses Ereignis überwacht Änderungen an allen Richtlinien, die in der Domäne angewendet werden. Dies beinhaltet Änderungen an den Benutzersicherheitsoptionen, Benutzerrechten und Überwachungsrichtlinien. Diese Option kann sehr nützlich sein, wenn bestimmte Dinge, die mit Berechtigungen zusammenhängen, nicht mehr funktionieren. Sie können dann das Protokoll rückwärts durchsuchen und herausfinden, ob versehentlich Richtlinien geändert wurden.
Rechteverwendung - Dieses Ereignis überwacht die Verwendung von Benutzerrechten. Typische Beispiele wären der Zugriff des Administrators auf das Sicherheitsprotokoll oder die Änderung der Systemzeit durch einen Benutzer. Der Eintrag im Protokoll benennt den Kontonamen, die Zeit und das verwendete Privileg.
Prozessverfolgung - Dieses Ereignis überwacht ausführbare Dateien wie EXE, DLL oder OCX. Normalerweise wird es von Programmierern verwendet, die die Ausführung von Programmen verfolgen wollen. Es kann auch beim Aufspüren von Viren nützlich sein. Allerdings gibt es bessere Tools für beide Anliegen.
Systemereignisse - Das ist das allgemeine Ereignis schlechthin. Damit werden Ereignisse wie das Neustarten oder Herunterfahren von Computern, das Starten und Anhalten von Diensten und alle Ereignisse, die die Sicherheit von Windows Server 2003 im Allgemeinen betreffen, verfolgt. Ein Beispiel wäre ein komplett volles Überwachungsprotokoll.
Die Ereignistypen, die bei einem Objekt überwacht werden können, hängen vom jeweiligen Objekttyp ab. Beispielsweise setzen die Überwachungs-Features für Dateien und Verzeichnisse voraus, dass das NTFS-Dateisystem verwendet wird.
Überwachungsrichtlinien erstellen
Überwachungsrichtlinien werden mit dem Snap-in Gruppenrichtlinienobjekt-Editor oder über Active Directory-Benutzer und -Computer erstellt, falls Ihr Server Mitglied einer Domäne ist.
Um eine Überwachungsrichtlinie zu erstellen, folgen Sie der Schritt-für-Schritt- Anleitung:
1. Wählen Sie START, VERWALTUNG, ACTIVE-DIRECTORY-BENUTZER UND -COMPUTER.
2. Klicken Sie dort mit der rechten Maustaste auf den Eintrag DOMAIN CONTROLLERS und wählen Sie im Kontextmenü EIGENSCHAFTEN. Klicken Sie in den EIGENSCHAFTEN VON DOMAIN CONTROLLERS auf den Reiter GRUPPENRICHTLINIE.
3. Die geltenden Richtlinien für das Objekt werden angezeigt. Doppelklicken Sie auf die gewünschte Richtlinie. Damit öffnen Sie den Gruppenrichtlinienobjekt-Editor (Bild 22).
4. Navigieren Sie zu COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN, SICHERHEITSEINSTELLUNGEN, LOKALE RICHTLINIEN, ÜBERWACHUNGSRICHTLINIE. Im rechten Fensterbereich werden die Einstellungen der Überwachungsrichtlinie angezeigt (Bild 23).
5. Klicken Sie die Richtlinie ANMELDEEREIGNISSE ÜBERWACHEN mit der rechten Maustaste an.
6. Das Dialogfeld EIGENSCHAFTEN VON ANMELDEEREIGNISSE überwachen öffnet sich (Bild 24). Aktivieren Sie die Optionen DIESE RICHTLINIENEINSTELLUNGEN DEFINIEREN, ERFOLGREICH und FEHLGESCHLAGEN. Damit wird die Überwachung aller Anmeldeereignisse aktiviert.
7. Klicken Sie auf OK, um die Änderungen zu speichern.
Sie sollten im Kopf behalten, dass die Überwachung eines Objekts zwei Schritte umfasst: Zuerst aktivieren Sie die spezielle Überwachungskategorie, die das zu überwachende Objekt beinhaltet. Dann aktivieren Sie die Überwachung spezieller Ereignisse bei diesem Objekt über das Eigenschaften-Dialogfeld des Objekts.
Objektzugriff überwachen
Wenn Sie zum Beispiel den Zugriff auf den Ordner Lohnbuchhaltung auf einem Ihrer Fileserver überwachen wollen, aktivieren Sie zuerst die Überwachung für Objektzugriff auf Standort-, OU- oder lokaler Ebene. Dann öffnen Sie die Eigenschaften dieses Ordners und aktivieren die Überwachung für diesen Ordner.
In der nächsten Anleitung aktivieren Sie zuerst die Überwachung für Objektzugriff mit der MMC Lokale Sicherheitsrichtlinie. Dann aktivieren Sie die Überwachung beim Ordner Lohnbuchhaltung:
Eine Überwachungsrichtlinie für Objektzugriff einrichten
1. Wählen Sie START, VERWALTUNG, LOKALE SICHERHEITSRICHTLINIE.
2. In der MMC Lokale Sicherheitseinstellungen (Bild 25) wählen Sie LOKALE RICHTLINIEN, ÜBERWACHUNGSRICHTLINIE.
3. Die für dieses Objekt geltenden Richtlinien werden angezeigt. Doppelklicken Sie auf die Richtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN. Damit öffnen Sie das EIGENSCHAFTEN-Dialogfeld (Bild 26).
4. Aktivieren Sie die Option FEHLGESCHLAGEN unter DIESE VERSUCHE ÜBERWACHEN. Klicken Sie dann auf OK.
5. Schließen Sie die MMC Lokale Sicherheitseinstellungen.
Ordnerüberwachung konfigurieren
6. Öffnen Sie den Windows-Explorer oder den Arbeitsplatz und navigieren Sie zum Ordner Lohnbuchhaltung. Klicken Sie den Ordner Lohnbuchhaltung mit der rechten Maustaste an und wählen Sie EIGENSCHAFTEN.
7. Im EIGENSCHAFTEN-Dialogfeld klicken Sie auf den Reiter SICHERHEIT. Klicken Sie dort auf die Schaltfläche ERWEITERT.
8. Damit öffnen Sie das Dialogfeld ERWEITERTE SICHERHEITSEINSTELLUNGEN (Bild 27). Klicken Sie auf den Reiter ÜBERWACHUNG.
9. Klicken Sie in diesem Reiter auf HINZUFÜGEN. Im erscheinenden Dialogfeld BENUTZER ODER GRUPPE WÄHLEN (Bild 28) geben Sie den Benutzer oder die Gruppe ein, dessen oder deren Ressourcenzugriff Sie verfolgen möchten. Wenn Sie den genauen Namen nicht kennen, klicken Sie auf ERWEITERT, um den Benutzer oder die Gruppe zu suchen. Klicken Sie zum Schluss auf OK.
10. Das Dialogfeld ÜBERWACHUNGSEINTRAG erscheint (Bild 29). Sie können unter verschiedenen Ereignissen für Erfolg, Fehlschlag oder beides wählen. Zudem können Sie die Überwachungseinstellung nur für den Ordner, den Ordner und seine Dateien oder andere Kombinationen anwenden.
11. Klicken Sie dreimal auf OK, um die Änderungen zu speichern.
Hinweise zu den Überwachungsrichtlinien
Wenn Sie eine Überwachungsrichtlinie festlegen, sollten Sie sich Gedanken darüber gemacht haben, was Sie mit all den gesammelten Daten anfangen wollen. Falls Sie die Überwachungsrichtlinie zur Ressourcenplanung einsetzen, sollten Sie die Protokollgröße erhöhen, damit Sie die Daten länger speichern können, oder aber die Protokolle gelegentlich archivieren, damit Sie eine kontinuierliche Übersicht über den System- und Ressourcengebrauch erhalten.
Überwachen Sie stets Dateien und Ordner mit sensiblen Daten und ignorieren Sie unwichtige Dateien, auf die viele Benutzer regelmäßig zugreifen. Verwechseln Sie nicht die Quantität der gesammelten Daten mit ihrer Qualität. Zudem frisst die Überwachung sehr wohl Ressourcen, sowohl was Rechenleistung als auch Festplattenplatz angehen.
Verwenden Sie die Gruppe Jeder, nicht die Gruppe Benutzer, zum Überwachen des Ressourcenzugriffs. Bestimmte Benutzerkonten sind nicht Mitglied von Benutzer, wohl aber von Jeder. Vergessen Sie nicht, dass alle Benutzerkonten automatisch in Jeder aufgenommen werden. Allerdings sind anonyme Benutzer bei Windows Server 2003 nicht mehr Mitglied von Jeder.
Vergessen Sie nicht, alle administrativen Aufgaben, die von den administrativen Gruppen ausgeführt werden, zu überwachen. Damit können Sie Probleme erkennen, die von unerfahrenen Administratoren verursacht werden. Zudem ist das Administratorkonto das Lieblingsziel von Hackern. Indem Sie die administrativen Konten überwachen, sollten Sie merkwürdiges Verhalten entdecken können, das typisch für schlecht ausgebildete oder unautorisierte Benutzer ist.
Sicherheitsereignisse überwachen und analysieren
Weiter oben haben wir illustriert, wie man sich mit der Ereignisanzeige die verschiedenen Protokolldateien ansieht. Die meisten Protokolldateien (wie Anwendung oder System) können von allen Benutzern angesehen werden. Das Protokoll Sicherheit hingegen ist nur für den Administrator zugänglich.
Sie können verschiedene Konfigurationsänderungen am Protokoll Sicherheit vornehmen. Die wichtigste davon ist die Vergrößerung der Protokollmaximalgröße. Die Vorgabe ist 16.384 KByte, was für eine oberflächliche Protokollierung in kleinen oder mittleren Unternehmen reicht. Bei größeren Unternehmen, die intensiv protokollieren, wird diese Größe schnell überschritten.
Wir haben weiter oben besprochen, wie man die Größe von Ereignisprotokollen manuell verändert. Es wäre aber ziemlich Zeit raubend, diese Einstellung bei jedem Server im Unternehmen einzeln durchzuführen. Um die Konfiguration der Ereignisprotokolle auf den Computern Ihres Unternehmens einheitlich zu gestalten, erstellen Sie eine Sicherheitsprotokoll-Richtlinie mithilfe des Gruppenrichtlinienobjekt-Editors. Nachdem die Richtlinie konfiguriert ist, kann sie wie jede andere Richtlinie auf die gewünschten Computer angewendet werden. Wie Sie die Größe des Protokolls Sicherheit für alle Computer einer Domäne verändern, zeigt die nächste Anleitung:
1. Wählen Sie START, VERWALTUNG, SICHERHEITSRICHTLINIE FÜR DOMÄNEN.
2. In der MMC Standard-Domänensicherheitseinstellungen (Bild 30) klicken Sie auf SICHERHEITSEINSTELLUNGEN, EREIGNISPROTOKOLL.
3. Die verfügbaren Richtlinien werden angezeigt. Doppelklicken Sie auf MAXIMALE GRÖßE DES SICHERHEITSPROTOKOLLS. Damit öffnen Sie das EIGENSCHAFTEN-Dialogfeld (Bild 31).
4. Setzen Sie die Protokollgröße auf 30.000 KByte. Klicken Sie dann auf OK.
5. Schließen Sie die MMC Standard-Domänensicherheitseinstellungen.
Das Aufzeichnen von Sicherheitsereignissen wird zur Erkennung von Eindringlingen verwendet. Wenn die Sicherheitsüberwachung und das Sicherheitsprotokoll entsprechend konfiguriert sind, ist es möglich, bestimmte Arten von Netzwerkeinbrüchen festzustellen, ehe sie erfolgreich sind. Ein Beispiel wäre eine Kennwortattacke, die in einem Netzwerk mit guten Kennwortrichtlinien sehr viel länger dauert, bis sie erfolgreich abgeschlossen werden kann. Das Sicherheitsprotokoll leistet auch gute Dienste nach einem Einbruch, denn so können Sie die Bewegungen und Aktionen des Hackers verfolgen und herausbekommen, wie er in das System kam. Doch die Sicherheitsprotokollierung ist nur dann effektiv, wenn sich der Netzwerkadministrator die Zeit nimmt, sie regelmäßig zu kontrollieren.
Tipps für die Praxis
Eine vernünftige Sicherheitsimplementierung beinhaltet die Koordinierung zahlreicher Netzwerkfunktionen. Vor allem ist es unerlässlich, dass sich Benutzer ohne allzu viele Schwierigkeiten am Netzwerk anmelden und dort ihre Ressourcen finden und benutzen können.
Kritische Netzwerk-Server sollten stets in einem sicheren Bereich stehen. Systemeinbrüche fallen wesentlich leichter, wenn erfahrene Hacker physikalischen Zugriff auf die Server-Konsole erhalten. Zudem sind kritische Server in einem offenen Bereich theoretisch den Angriffen verärgerter Mitarbeiter ausgesetzt, deren Waffen nicht komplizierter als ein Vorschlaghammer oder ein Eimer voll Wasser sein müssen. Auch wenig intellektuelle Angriffe können verheerende Wirkungen haben, und in der Vergangenheit zeigte sich, dass viel mehr Angriffe von innerhalb einer Firma als von außen gestartet wurden.
Eine der besten Sicherheitsmaßnahmen ist Benutzerschulung. Benutzer sollten wissen, wie wichtig der Schutz der Unternehmensressourcen ist und was passieren könnte, wenn kritische Informationen in die falschen Hände gelangen. Erklären Sie Ihren Mitarbeitern, wie man Kennwörter vertraulich hält. Am besten formulieren und veröffentlichen Sie eine klare Sicherheitsrichtlinie und sorgen dafür, dass jeder (auch Netzwerkadministratoren) diese Richtlinie regelmäßig durchliest.
Begleitete Praxisübung
In der heutigen Situation ist Sicherheit zu einem wichtigen Thema geworden. Ein guter Systemadministrator muss sich nicht nur vor den Bedrohungen von außen, sondern auch vor internen Gefahren in Acht nehmen. Statistiken der letzten Zeit haben gezeigt, dass Server weit häufiger von diesseits als von jenseits der Firewall angegriffen wurden.
Bestimmte Teile des Netzwerks brauchen mehr Schutz als andere. Beispielsweise muss alles, was mit Geschäftsgeheimnissen, Mitarbeiterdaten et cetera zu tun hat, so stark wie nur irgend möglich gesichert werden.
Aber woher sollen Sie wissen, dass Ihre Sicherheitsmaßnahmen greifen? Haben Sie vielleicht das Gefühl falscher Sicherheit? Welche Tools gibt es bei Windows Server 2003, die dazu geeignet wären, Sie zu beruhigen? Versuchen Sie, allein eine entsprechende Strategie zu entwickeln.
Eine mögliche Lösung finden Sie im nächsten Kapitel.
Lösungsansatz zur Praxisübung
Ein mögliches Vorgehen wäre, die Überwachung spezieller Dateien und Ordner zu aktivieren. Sie sollten stets Dateien und Ordner mit sensiblen Daten überwachen, nicht aber gewöhnliche Dateien, auf die viele Benutzer zugreifen.
Auf dem Server mit den Objekten, die Sie überwachen wollen, führen Sie folgende Schritte aus:
1. Wählen Sie START, VERWALTUNG, LOKALE SICHERHEITSRICHTLINIE.
2. In der MMC Lokale Sicherheitseinstellungen wählen Sie LOKALE RICHTLINIEN, ÜBERWACHUNGSRICHTLINIE.
3. Die für dieses Objekt geltenden Richtlinien werden angezeigt. Doppelklicken Sie auf die Richtlinie OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN. Damit öffnen Sie das EIGENSCHAFTEN-Dialogfeld.
4. Setzen Sie den Haken bei FEHLGESCHLAGEN unter DIESE VERSUCHE ÜBERWACHEN. Klicken Sie dann auf OK.
5. Schließen Sie die MMC Lokale Sicherheitseinstellungen.
6. Öffnen Sie den Windows-Explorer oder den Arbeitsplatz und navigieren Sie zum zu überwachenden Ordner. Klicken Sie ihn mit der rechten Maustaste an und wählen Sie EIGENSCHAFTEN.
7. Im EIGENSCHAFTEN-Dialogfeld klicken Sie auf den Reiter SICHERHEIT. Klicken Sie dort auf die Schaltfläche ERWEITERT.
8. Damit öffnen Sie das Dialogfeld ERWEITERTE SICHERHEITSEINSTELLUNGEN. Klicken Sie auf den Reiter ÜBERWACHUNG.
9. Der Reiter ÜBERWACHUNG zeigt die einzelnen aktivierten Überwachungstypen an, für wen sie jeweils gelten, ob sie geerbt sind und woher. Klicken Sie dort auf HINZUFÜGEN.
10. Im erscheinenden Dialogfeld BENUTZER ODER GRUPPE WÄHLEN geben Sie den Benutzer oder die Gruppe ein, dessen/deren Ressourcenzugriff Sie verfolgen möchten. Für die Sicherheitsüberwachung wählen Sie die Gruppe Jeder. Klicken Sie zum Schluss auf OK.
11. Das Dialogfeld ÜBERWACHUNGSEINTRAG erscheint. Sie können unter verschiedenen Ereignissen für Erfolg, Fehlschlag oder beides wählen. Zudem können Sie die Überwachungseinstellung nur für den Ordner, den Ordner und seine Dateien oder andere Kombinationen anwenden.
12. Klicken Sie dreimal auf OK, um die Änderungen zu speichern.
Ausblick
Nachdem sich dieser Abschnitt mit der objektspezifischen Überwachung beschäftigt hat, geht es im nächsten Teil um dem Umgang mit dem Task-Manager. Erfahren Sie im nächsten Teil, wie sie mit Hilfe des Task-Managers aktuell laufende Applikationen und Prozesse überwachen und verwalten.
Die Serie basiert auf Kapitel 6 des Buches "MCSA/MCSE - Windows Server 2003 verwalten und warten. Examen 70-290" von Lee Scales und John Michell. Erschienen ist es im Verlag Addison-Wesley. Sie können sich das über 600 Seiten starke Buch in unserem Buchshop bestellen oder als eBook beziehen.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |