用于 Windows 文件服务器审计

使用户成为 Power Users 组成员

Power Users 组成员将能够发现位于 Windows 文件服务器上的共享。

• 使用域管理员权限登录到域控制器 → 打开组策略管理控制台 → 右键点击“ADAudit Plus Permission GPO” → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 首选项 → 控制面板设置 → 右键点击本地用户和组 → 添加本地组。
• 在新建本地组属性向导中，选择操作下的更新 → 在组名下选择 Power Users 组 →添加“ADAudit Plus”用户。

授予用户对所有审计共享的读取权限

授予用户对所有审计共享读取权限有两种方法—

• 使用户成为本地管理员组成员。

  • 使用域管理员权限登录到任意计算机→ 打开 MMC 控制台 → 文件 → 添加/删除管理单元 → 选择本地用户和组 → 添加 → 另一台计算机 → 添加目标计算机
  • 选择目标计算机 → 打开本地用户和组 → 选择组 → 右键点击 administrators → 属性 →添加“ADAudit Plus”用户。
  • c.对每台被审计的 Windows 文件服务器/集群重复上述步骤。



• 授予用户对每个被审计共享的共享和 NTFS 读取权限。

  • 使用域管理员权限登录到任意计算机 → 打开 MMC 控制台 → 文件 → 添加/删除管理单元 → 选择共享文件夹 → 添加 → 另一台计算机 → 添加目标计算机
  • 选择目标计算机 → 选择共享 → 右键点击 → 属性 → 安全 → 编辑 →添加“ADAudit Plus”用户 → 授予共享和 NTFS 的读取权限。
  • 对每个被审计共享重复上述步骤。

授予用户 DCOM 和 WMI 权限

注意：文件集群审计还需要 DCOM 和 WMI 权限。

• 授予 DCOM 权限：

  • 使用域管理员权限登录到任意计算机 → 打开组件服务 → 连接目标计算机 → 右键点击目标计算机 → 属性 → COM 安全。
  • 导航至启动与激活权限 → 编辑限制 → 安全限制 → 添加“ADAudit Plus”用户并授予以下权限：
  • 本地启动
  • 远程启动
  • 本地激活
  • 远程激活。
  • 对每台被审计计算机重复上述步骤。



• 授予 WMI 权限：

  • 使用域管理员权限登录任意计算机 → 运行 wmimgmt.msc → 右键点击 WMI 控制 (本地) → 连接目标计算机。
  • 右键点击目标计算机的 WMI 控制 → 属性 → 安全 → +Root → CIMV2 → 安全 → 添加“ADAudit Plus”用户并授予以下权限：
    • 执行方法
    • 启用帐户
    • 远程启用
  • 点击确定。

    

  • 导航至 +Root → +RSOP → 计算机 → 安全 → 添加“ADAudit Plus”用户并授予以下权限：
    • 执行方法
    • 启用帐户
    • 远程启用
  • 点击确定。

    

  • 对每台被审计计算机重复上述步骤。

    注意：如果审计多台计算机，您可以通过组策略运行脚本自动执行上述过程。详情请联系 support@adauditplus.com 。

授予用户对 c$ 共享 (\\server_name\C$) 的读取权限：

注意：访问 NetApp C-Mode 日志文件需要对 C$ 共享 (\\server_name\C$) 的读取权限。