Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit scenario controleert u de toegang tot bestanden in de map Financiële documenten met behulp van het financiële beleid dat u hebt gemaakt in Een centraal toegangsbeleid implementeren (demonstratiestappen). Als een gebruiker die niet gemachtigd is voor toegang tot de map, toegang probeert te krijgen, wordt de activiteit vastgelegd in de logboeken. De volgende stappen zijn vereist om dit scenario te testen.
| Task | Description |
|---|---|
| Globale objecttoegang configureren | In deze stap configureert u het globale objecttoegangsbeleid op de domeincontroller. |
| Groepsbeleidsinstellingen bijwerken | Meld u aan bij de bestandsserver en pas de update van groepsbeleid toe. |
| Controleer of het globale objecttoegangsbeleid is toegepast | Bekijk de relevante gebeurtenissen in de evenementenweergave. De gebeurtenissen moeten metagegevens bevatten voor het land en documenttype. |
Globaal objecttoegangsbeleid configureren
In deze stap configureert u het globale objecttoegangsbeleid in de domeincontroller.
Een globaal objecttoegangsbeleid configureren
Meld u aan bij de domeincontroller DC1 als contoso\administrator met het wachtwoord pass@word1.
Wijs hulpprogramma's aan in Serverbeheer en klik vervolgens op Groepsbeleidsbeheer.
Dubbelklik in de consolestructuur op Domeinen, dubbelklik op contoso.com, klik op Contoso en dubbelklik vervolgens op Bestandsservers.
Klik met de rechtermuisknop op FlexibleAccessGPO en klik op Bewerken.
Dubbelklik op Computerconfiguratie, dubbelklik op Beleid en dubbelklik vervolgens op Windows-instellingen.
Dubbelklik op Beveiligingsinstellingen, dubbelklik op Advanced Audit Policy Configuration en dubbelklik vervolgens op Controlebeleid.
Dubbelklik op Objecttoegang en dubbelklik vervolgens op Bestandssysteem controleren.
Schakel het selectievakje De volgende gebeurtenissen configureren in, schakel de selectievakjes Geslaagd en Mislukt in en klik op OK.
Dubbelklik in het navigatiedeelvenster op Global Object Access Auditing en dubbelklik vervolgens op Bestandssysteem.
Schakel het selectievakje Deze beleidsinstelling definiëren in en klik op Configureren.
Klik in het vak Advanced Security Settings for Global File SACL op Toevoegen, klik vervolgens op Een principal selecteren, typ Iedereen en klik vervolgens op OK.
Selecteer in het veld Controlevermelding voor wereldwijde bestand SACLVolledige controle in het veld Machtigingen.
Klik in de sectie Een voorwaarde toevoegen opEen voorwaarde toevoegen en selecteer in de vervolgkeuzelijsten [Resource] [Afdeling] [Een van] [Waarde] [Financiën].
Klik drie keer op OK om de configuratie van de beleidsinstelling voor globale objecttoegang te voltooien.
Klik in het navigatiedeelvenster op Objecttoegang en dubbelklik in het resultatenvenster op Manipulatie van controlegreep. Klik op De volgende controlegebeurtenissen configureren, Succes en Mislukt, klik op OK en sluit vervolgens het groepsbeleidsobject voor flexibele toegang.
Groepsbeleidsinstellingen bijwerken
In deze stap werkt u de groepsbeleidsinstellingen bij nadat u het controlebeleid hebt gemaakt.
Groepsbeleidsinstellingen bijwerken
Meld u aan bij de bestandsserver, FILE1 als contoso\Administrator, met het wachtwoord pass@word1.
Druk op de Windows-toets+R en typ cmd om een opdrachtpromptvenster te openen.
Note
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die wordt weergegeven, is wat u wilt en klikt u op Ja.
Typ gpupdate /force en druk op Enter.
Controleer of het globale objecttoegangsbeleid is toegepast
Nadat de groepsbeleidsinstellingen zijn toegepast, kunt u controleren of de controlebeleidsinstellingen correct zijn toegepast.
Controleren of het globale objecttoegangsbeleid is toegepast
Meld u aan bij de clientcomputer CLIENT1 als Contoso\MReid. Blader naar de map HYPERLINK 'file:///\\\\ID_AD_FILE1\\Finance' \\ FILE1\Finance Documents en wijzig Word Document 2.
Meld u aan bij de bestandsserver, FILE1 als contoso\administrator. Open Logboeken, blader naar Windows-logboeken, selecteer Beveiliging en controleer of uw activiteiten hebben geleid tot controlegebeurtenissen 4656 en 4663 (hoewel u geen expliciete controle-SACLs hebt ingesteld voor de bestanden of mappen die u hebt gemaakt, gewijzigd en verwijderd).
Important
Er wordt een nieuwe aanmeldingsgebeurtenis gegenereerd op de computer waarop de resource zich bevindt, namens de gebruiker voor wie effectieve toegang wordt gecontroleerd. Bij het analyseren van security auditlogs voor gebruikersaanmeldactiviteit wordt om onderscheid te maken tussen aanmeldgebeurtenissen die worden gegenereerd door effectieve toegang en die gegenereerd door een interactieve netwerkgebruiker, de informatie over het impersonatieniveau opgenomen. Wanneer de aanmeldingsgebeurtenis wordt gegenereerd vanwege effectieve toegang, zal het impersonatieniveau Identiteit zijn. Een interactieve gebruikersaanmelding via een netwerk genereert doorgaans een aanmeldings gebeurtenis met het imitatieniveau = imitatie of delegering.