文件服务器审计所需的权限/特权

将用户添加为权限用户组成员

权限用户组的成员将能够发现位于 Windows 文件服务器上的共享。

• 使用域管理员权限登录到您的域控制器 → 打开组策略管理控制台 → 右键单击“ADAudit Plus 权限 GPO” → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 首选项 → 控制面板设置 → 右键单击本地用户和组 → 添加本地组。
• 在新建本地组属性向导中，选择操作下的更新 → 在组名称下选择权限用户组 → 添加“ADAudit Plus”用户。

授予用户对所有审计共享的读取权限

有两种方法可以授予用户对所有审计共享的读取权限 -

• 将用户添加为本地管理员组的成员。

  • 使用域管理员权限登录到任何计算机 → 打开 MMC 控制台 → 文件 → 添加/删除管理单元 → 选择本地用户和组 → 添加 → 另一台计算机 → 添加目标计算机
  • 选择目标计算机 → 打开本地用户和组 → 选择组 → 右键单击管理员 → 属性 → 添加“ADAudit Plus”用户。
  • c. 对每台被审计的 Windows 文件服务器/集群重复上述步骤。



• 授予用户在每个审计共享上的共享和 NTFS 读取权限。

  • 使用域管理员权限登录到任何计算机 → 打开 MMC 控制台 → 文件 → 添加/删除管理单元 → 选择共享文件夹 → 添加 → 另一台计算机 → 添加目标计算机
  • 选择目标计算机 → 选择共享 → 右键单击 → 属性 → 安全 → 编辑 → 添加“ADAudit Plus”用户 → 提供共享和 NTFS 读取权限。
  • 对每个审计共享重复上述步骤。

授予用户 DCOM 和 WMI 权限

注意: 文件集群审计也需要 DCOM 和 WMI 权限。

• 授予 DCOM 权限：

  • 使用域管理员权限登录到任何计算机 → 打开组件服务 → 连接到目标计算机 → 右键单击目标计算机 → 属性 → COM 安全。
  • 导航到启动和激活权限 → 编辑限制 → 安全限制 → 添加“ADAudit Plus”用户并授予以下权限：
  • 本地启动
  • 远程启动
  • 本地激活
  • 远程激活。
  • 对每台被审计的计算机重复上述步骤。



• 授予 WMI 权限：

  • 使用域管理员权限登录到任何计算机 → 运行 wmimgmt.msc → 右键单击 WMI 控制（本地） → 连接到目标计算机。
  • 右键单击 WMI 控制（目标计算机） → 属性 → 安全 → +Root → CIMV2 → 安全 → 添加“ADAudit Plus”用户并授予以下权限：
    • 执行方法
    • 启用账户
    • 远程启用
  • 点击确定。

    

  • 导航至 +Root → +RSOP → 计算机 → 安全 → 添加“ADAudit Plus”用户并授予以下权限：
    • 执行方法
    • 启用账户
    • 远程启用
  • 点击确定。

    

  • 对每个审计的计算机重复上述步骤。

    注意：如果审计了多台计算机，建议通过组策略运行脚本来自动化以上过程。如需更多详细信息，请联系 support@manageengine.cn。

授予用户对 c$ 共享（\\server_name\C$）的读取权限：

注意：需要对 C$ 共享（\\server_name\C$）的读取权限以访问 NetApp C-Mode 日志文件。