文件服务器审核的所需权限

1. 将用户添加到Power Users用户

Power Users组的成员将能够发现在Windows文件服务器上的共享。

  • 使用域管理员权限登录到域控制器 → 打开组策略管理控制台 → 右键点击"ADAudit Plus Permission GPO" → 编辑。
  • 在组策略管理编辑器中 → 计算机配置 → 首选项 → 控制面板设置 → 右键点击本地用户和组 → 添加本地组。
  • 在新建本地组属性向导中,在动作中选择更新 → 在组名中选择Power Users组 →添加"ADAudit Plus"用户。
active-directory-audit-make-the-power-users-group
2. 授予用户对所有审核共享的读取权限

有两种方式可以授予用户对所有审核共享的读取权限-

  • 将用户添加到本地管理员组。

    • a. 使用域管理员权限登录到任意计算机→ 打开MMC控制台 → 文件 → 添加/删除管理单元 → 选择本地用户和组 → 添加 → 另一台计算机 → 添加目标计算机。

    b. 选择模板计算机 → 打开本地用户和组 → 选择组 → 右键点击管理员 → 属性 →添加"ADAudit Plus"用户。

    c.对每个审核的Windows文件服务器/群集重复上述步骤。

    active-directory-audit-grant-the-user-read-permission-on-audited-shares
  • 授予用户对每个审核的共享的共享和NTFS、读取权限。

    • a. 登录到具有域管理员权限的任何计算机 → 打开MMC控制台 → 文件 → 添加/删除管理单元 → 选择共享文件 → 添加 → 另一台计算机 → 添加目标计算机。

    b.选择目标计算机 → 选择共享 → 右键点击 → 属性 → 安全 → 编辑 →添加"ADAudit Plus"用户 → 同时提供共享和NTFS、读取权限。

    c.对每个审核的共享重复上述步骤。

active-directory-audit-grant-the-user-read-permission-on-audited-shares-2
3. 授予用户DCOM和WMI权限

注意: 文件群集审核和事件收集的WMI模式分别需要DCOM和WMI权限。

  • 授予DCOM权限:

    • a. 使用域管理员权限登录到任意计算机 → 打开计算机服务 → 连接到目标计算机 → 右键点击目标计算机 → 属性 → COM安全。

    b.进入启动和激活权限 → 编辑限制 → 安全限制 →添加"ADAudit Plus"用户并赋予所有权限。

    c.对每台审核的计算机重复上述步骤。

    active-directory-audit-grant-user-dcom-wmi-permissions
  • 授予WMI权限:

    • a.使用域管理员权限登录到任意计算机→ 运行wmimgmt.msc → 右键点击WMI控制 → 连接到目标计算机。

    b. 右键点击WMI控制(目标计算机) → 属性 → 安全 → CIMV2 → 安全 → 添加"ADAudit Plus"用户并赋予所有权限。

    c.对每台审核的计算机重复上述步骤。

    active-directory-audit-security-root
4. 授予用户对c$共享(\\server_name\C$)的读取权限:

注意: 需要拥有对C$共享(\\SERVER_NAME\C$)的读取权限才能访问NetApp C模式日志文件。

版权所有 © 2022 卓豪(中国)技术有限公司,保留一切权利