Как автоматизировать логи в AD ?
 

Привет всем ! Господа у меня такой вопрос. Как в Active Directory осуществляется ограничение доступа пользователей к USB и сьёмным носителям ? Где это можно настроить ? И ещё можно ли логи по подключениям будь то USB или вход -выход пользователя в домен как то в нести в одну базу или чтоб логи писались на выделенный сервер ? Как мне это автоматизировать чтоб я каждый раз не мотался в AD и не смотрел кто из 200 пользователей входил кто выходил кто флешку вставлял ? Как это сделать HELP!!!

1)Для Windows Xp
http://support.microsoft.com/?kbid=555324
http://support.microsoft.com/kb/823732/ru

2)Начиная с Windows Vista,то там все гораздо мощнее и проще.

Computer Configuration | Administrative Templates | System | Device Installation | Device Installation Restriction

3)Как вариант установить специальный софт
GFI Endpoint security
Device lock

4)Для логирования USB пишите свои скрипты,которые будет скидывать на сервер.Так же возможно ПО
http://www.devicelock.com/devicelock_plug_and_play_auditor.html
http://www.pcausa.com/Utilities/UsbSnoop/default.htm

5)Для логированиея пользователей на вход-выход,можно через групповые политики назначить скрипты log on log off.

echo %date% %username% %computername% и уже можно писать на сервер.


Как вариант просмотра через AD:
http://forum.sysfaq.ru/index.php?showtopic=18378

где хранятся логи входа-выхода юзера и подключения-отключения внешнего накопителя ?

Для накопителей только через сторонее ПО или скриптами.

Для пользователя,для начало включите в Group Policy Аудит входа в систему и уже через Event Log ,будете парсить данные и отправлять на сервер.

слушай а как мне из AD 2003 там 200 пользователей оперативно узнать кому предоставлен доступ на USB на чтение и на запись а кому нет ? есть ли какая нить прога которая выдёргивает настройки или может просканить и выделить в список у этих пользователей чтение у этих запись !

А зачем если все имеют право на запись и чтения,не кто их в этом не ограничивал.

В этом то и дело что у нас на сервере есть ограничения на чтение и запись и чтоб не копать 200 юзеров кому что мы хотим это автоматизировать ! Как это можно сделать ?

На каком сервере?Что ограничено?У кого ограничено?На что ограниченно?Как ограниченно?

Читай приведенные выше материалы,там четко написано как ограничить.

PS пока не единого шага от вас про автоматизацию я не увидал.

По пользователям - будут отметки в журнале безопансости. (Пуск - Панель управления - Просмотр событий - Просмотр событий - Безопасность). Физически все журналы хранятся в папке C:\WINDOWS\system32\config с расширением .evt.
Можно сразу Пуск-Выполнить-eventvwr

Я не знаю политики для подключение/отключения внешнего накопителя. Скорее всего здесь _только_ внешний софт.

Запись в один журнал (лог) - это тоже из серии нетривиально, особенно для системных програм/функций.

А вот если пишешь свой софт, то тут проще. Существует программа eventcreate.exe, лежит в %WINDIR%/system32, вообще в этом каталоге погляди все программы по маске ev*, там же есть и пример скрипта eventquery.vbs.

Вообще в плане сделать по своему в Windows, на мой взгляд, очень не просто.

Позволь я обьясню ибо правильно поставленый вопрос половина ответа ...
Короче у нас сервак 2003 там AD ... сервисами самого сервера там ограничили доступ к юзеров на чтение и запись usb (до нас было)... таперь мы хотим провести аудит 200 юзеров кому какие права были даны и в последующем понимать когда кому был открыт доступ на запись-чтение когда кому закрыт ... чтоб не покупать лишние проги .. ибо бюджет нам срезали ...

Если вы скажете как это сделано, тогда и будут варианты. Просто это может быть локальная политика компьютера и из AD вы ничего не увидите. Или вообще простое приложение в памяти OS, которое блокирует обращение. Надо знать подробнее.

Подозреваю что создавалась собственная политика (*.adm), тогда нужно знать что она делает и какого уровня.

Вы понимаете что пишете.У вас уже ограниченно на запись и чтение,но вы не знаете какие права выданы - это как понимать?

Для начала определитесь наконец,кому нужен доступ на чтение - запись,кому нет.С помощью GP ограничиваете доступ кому надо.

С помощью приведенных программ выше,логируйте что происходит с usb,у тех пользователей кому разрешено чтение-запись.

Короче прикинул тут немного, можно вешать скрипт блокировки на логон пользователя. Это будет видно в результирующей политике. Это первый этап.

На втром этапе - написать скрипт, который будет агрегировать результирующие политики и делать выборку из них, либо агрегировать только те политики, где имеется соответсвующий logon скрипт.

Или более эффективно, можно сам скрипт заставать писать куда-то, что я Вася Пупкин и мне нельзя трогать USB.

Касаемо самого запрещающего скрипта, видел примеры блокировки USB на Delphi, значит наверняка можно переписать под vbs/wsh.

Всё упирается в то, что нет стандартной групповой политики по запрету использования USB, поэтому штатными средствами для аудита наличия/отсутвия запрета вы в данной ситуации не обойдетесь (во всяком случае, без знания того, как это реализовано).

луди если памить мне не изменаит то dsquery и ldap могут искать в AD узеров по опредилним параметратм

Совершенно верно, но какие параметры у него определены для пользователя которому нельзя использовать USB - он не знает. Значит и искать нечего =) И должен ли быть этот параметр в AD он тоже не знает. Он вообще не знает как ЭТО у него работает. Мы не телепаты, к сожалению.
Просто у кого-то получается использовать USB, а у кого-то нет. Теперь ему надо составить список и аудировать, кому можно, а кому нельзя. ИМХО, надо подробнее разбираться как это работает.

в таком случие пуст бирот листик , ручку, usb флешку и вперод по 200 копмутерам. думаю за один рабочий день закончит =)

Ржунимагу .....


Запрет сделан в AD а групповой политике безопасности ...там есть политика на чтение и на запись usb ..так вот можно ли мне какой нить прогой или скриптом вывести листинг кому какие права разрешены на чтение и на запись ?

в этом то и дело что в лом ходить и проверять .... а листинг получить было бы не плохо...

Можно точное название политики?

Group Policy Managment Editor

Эм... Название самой политики. Впрочем, она в любом случае нестандартна.
http://support.microsoft.com/kb/555324

Removable Storage Access ... здесь есть запрет на чтение и на запись ... возможно ли получить листинг юзеров ?

У мя в АД на группу стоит политика закрытия юсб, в ней папка с политикой открытия + повешен на глобальную политику скрипт чтения юсб значнеия из реестра для статистики.

Ето не спасает от других usb накопителей, мобила фотик.

можа скрипт написать, чтоб вертелся в памяти и писал куда нить на другой комп инфу о новых дисках

http://www.pictureshack.ru/images/9794ad.JPG

Да, всё правильно, так можно, я только не понял, эта политика штатная или нет?? Если да, то какой контроллер и какая ОС на клиентах.

политика штатная контроллер 2003 у юзеров ХР