La funzionalità " Gruppi speciali " di Windows 2008R2 consente il monitoraggio dettagliato degli amministratori di dominio quando accedono al computer. Questo si ottiene modificando una chiave di registro o l'LSA.
Esiste un'azione simile che può essere eseguita per il file, la stampa o altri tipi di registrazione?
Sì. La risposta è semplicemente il vecchio controllo degli accessi agli oggetti con criteri di controllo e ACL di controllo.
Innanzitutto, abilitare la politica di controllo del sistema per tracciare l'accesso corretto di file e oggetto. Non preoccuparti, questo non produrrà quantità insane di messaggi di log (sebbene i controller di dominio diventino un po 'più rumorosi a causa degli ACL di Audit predefiniti (SACL)).
In secondo luogo, nella directory attiva o nel file system, si trovano gli oggetti a cui si desidera controllare l'accesso. Modifica le proprietà, vai nelle impostazioni di sicurezza avanzate / scheda Audit. Quindi aggiungi gli utenti o i gruppi che desideri monitorare, quindi selezioni il tipo di attività che desideri monitorare.
Quando gli utenti accedono a questo oggetto, il sistema controlla se esiste un SACL e se questo tipo di accesso deve risultare in un messaggio di evento log di sicurezza.
Una panoramica più approfondita: link
Leggi altre domande sui tag windows permissions audit