Forum

Server üzerind...
 
Bildirimler
Hepsini Temizle

Server üzerinde Local user hesabını hangi oturum hesabı ile creat edilmiştir hakkında.

3 Yazılar
2 Üyeler
0 Reactions
1,201 Görüntüleme
(@nasrineymar)
Gönderiler: 103
Reputable Member
Konu başlatıcı
 

Merhaba arkadaşlar,

Size bir sorum olacaktı.

Şirketimizde 5 adet Domain admin yetkisi olup ve bununla birlikte Helpdesk çağrı merkezinde de hemen hemen aynı haklara sahip 15'in üzerinde yetkilere sahip personel bulunmaktadır.

Buradaki öğrenmek istediğim şu olacaktır.

Çok kritik bir sunucu'da local user hesabı creat edilmiş ve bunun kimin yaptığını nasıl ve nereden görebilirim.

Şöyle bir sorun ile karşılaştık.
Sunucu domain ortamında olup herkes kendi domain hesabı ile login olmaktadır.
Normalde sunucuya 15 kişinin logon olma ve her türlü işlmeleri yapma yetkilieri bulunmaktadır.

Örneğin X adında bir domain admini kendi hesabı ile sunucuya login oluyor ve burda Server manager / Configuration / Local Users and Groups kısmında "testuser" adında bir local user oluşturuyor ve daha sonra bu oluşturduğu bu user hesabını Administrators gruba ekliyor.

Sonrasında ise çok kritik bir Folder var ve bunu Paylaşıma açıyor. Folder'ın ismi BUTCE2014 olup ve bu folder'i share paylaşıma açıyor ve "testuser" adlı kullanıcıya bu Folder'da full yetkisi veriyor. Yani senaryo bu şekilde.

Fakat ben bunun hangi admin kullanıcısının yaptığını bilmiyorum. Tüm admin ve helpdesk ekibine sorduğumda bilgilerinin olmadığını ve creat etmediklerini söylemişlerdir.

Şimdi sizlerden ricam,

1. Bu sunucuda "testuser" adlı local hesabı hangi domain admin veya helpdesk çalışanı cereat etmiştir?

2. "testuser" adlı local hesabını kim Administrators gurubuna eklemiştir?

3. BUTCE2014 klasör'ünde "testuser" adlı kullanıcıya kim full hakkı vermiştir?

Bu bilgilere nerden ve nasıl ulaşabilirim?

Saygılar iyi çalışmalar.

Kenan

 
Gönderildi : 10/04/2015 11:30

(@ahmetmusakosali)
Gönderiler: 366
Reputable Member
 

Eğer hala silinmedi ise Security loglarında kullanıcı oluşturma işlemlerini aşağıdaki Event kayıtlarında kimin yaptığını görebilirsiniz. Fakat klasör için Audit açık değilse göremezsiniz. 

Ayrıca admin olan kişi bilgisayar üzerindeki tüm klasörlere full yetkisi vardır. Eğer siz özel bir ayar yapmadıysanız. Klasör üzerindeki yetki işlemlerinide Audit açık olmadan göremezsiniz. 

Event ID ler

 4728 : hesap oluşturma (A member was added to a security-enabled global group.)

4720 :  kullanıcı oluşturma

4722 : hesabın aktif edilmesi

 4738 : gurup değişikliği ( ör: admin gurubuna ekleme)

4732 :  A member was added to a security-enabled local group.

 

 

 

 

 

 
Gönderildi : 10/04/2015 14:17

(@ahmetmusakosali)
Gönderiler: 366
Reputable Member
 

Audit işlemlerini  için ;

Local Security Policy  (%windir%\system32\secpol.msc /s) üzerinden yapılır.

Açılan ekranda  Local Policy altında Audit Policy kısmında Object Access ve Process Tracking i aktif (success) etmelisiniz.

 
Gönderildi : 10/04/2015 14:23

Paylaş: