Назад | Перейти на главную страницу

Как регистрировать доступ к файлу на общем сервере? Win Server 2008. Студенту нужна помощь!

Привет всем, я студент программы информационных технологий, и мне нужна небольшая помощь.

ЗАМЕТКИ К ВЫПУСКУ

  1. Имейте несколько файлов в общей папке на сервере, которые нужно регистрировать, когда они открываются и на каком компьютере в сети.
  2. Необходимо иметь возможность фильтровать по пользователю компьютера и по тем файлам, которые он открыл. В 30-ти файлах смешано около 6 файлов-приманок.
  3. Нужно иметь возможность выводить информацию в какой-то текстовый файл.
  4. Спасибо за любую мудрость или руководство.

ВЫПУСК

Мне нужна помощь в настройке журнала аудита, который будет проверять и перечислять, когда кто-либо в нашей сети обращается к файлу на общем диске нашего сервера класса. Я изучу этот материал и другие серверы в ближайшие несколько недель, но эта проблема не может ждать так долго. Было бы здорово работать с довольно подробными инструкциями, но я могу работать в серверной среде, так что вы работаете с кем-то, кто является техническим специалистом. Я прошел через управление совместным доступом, а не только что сделал снимки несанкционированного доступа, которые я наблюдал, пока сидел там, но мне нужно, чтобы это было для меня. Наша классная комната находится в собственной сетевой подсети, поэтому мы в значительной степени являемся нашей собственной сетью с 30 настольными компьютерами и 1 сервером / компьютером инструктора, работающим под управлением Windows Server 2008. Остальные компьютеры windows 7.

Задний план

Прямо сейчас я изучаю конфигурацию Windows 7, но проблема в том, что другие студенты копируют мою лабораторную работу после того, как я отправляю ее на общий диск моего профессора на нашем сервере класса (Windows Server 2008). Я разговаривал с профессором, и он знает об этом и хочет положить конец мошенничеству, но нам нужны доказательства, чтобы действительно прижать людей. Спасибо всем за любую помощь, которую вы можете мне оказать, я очень много работаю, чтобы получить свои оценки, и мне больно, когда вы обнаруживаете, что у вас есть 4 или 5 других людей, которые просто копируют это.

Только что проработав долгое время в качестве системного администратора в академической среде, я прекрасно знаю, насколько универсальными могут быть разрешения Windows. если все сделано правильно. Но сначала, чтобы ответить на заданный вопрос.

Windows действительно имеет возможность регистрировать доступ к файлам. это чрезвычайно спам и требует автоматического анализа журналов, чтобы извлечь из них что-нибудь полезное. Для этого есть множество инструментов. Splunk (я уверен, что вы видели рекламу о них на этом сайте), пожалуй, лучший продукт. Внизу списка находятся скрипты, которые очищают журнал событий безопасности Windows на предмет интересных событий.

В PowerShell есть способы запрашивать эту информацию (get-eventlog). На Server 2008 у вас есть доступ к wevtutil это инструмент, который может запрашивать данные журнала, используя строки в формате xpath (которые сложно освоить, но полезно знать), и выгружать их в файлы XML для анализа. Есть несколько вопросов по ServerFault, которые относятся к такого рода анализу.

Теперь собственно ответ на проблему, как она изложена.

Поскольку он находится на сервере Windows, вы можете использовать некоторые настраиваемые права NTFS, чтобы лучше урезать то, что студенты могут и не могут делать в каталоге. Вы должны обратить внимание на наследование прав, чтобы это работало, но Dropbox действительно можно безопасно создавать. Мы довольно успешно использовали их в определенных областях.

Основные концепции для правильного разрешения папок с раскрывающимися файлами:

  • Студенты должны иметь возможность переходить к каталогу.
  • Унаследованные права должны быть заблокированы, как и положено не иметь возможность просматривать любой каталог ниже раскрывающегося каталога.
  • Студентам нужна способность записывать любой файл или каталог, но только читать файлы и каталоги, которые они создают.
  • Преподавательскому составу необходимо уметь читать все, что угодно.

Практически это можно сделать через графический интерфейс Windows или icacls инструмент. Поскольку icacls намного проще документировать на подобном сайте, я предоставлю это.

icacls dropdir /inheritance:d 
icacls dropdir /remove AllStudents
icacls dropdir /grant Csci101:(rx,wd)
icacls dropdir /grant CSciFaculty:(OI)(CI)(M)
icacls dropdir /grant *S-1-3-0:(oi)(ci)(rx)

Вышеупомянутые строки делают следующее по порядку.

  1. Блокировать наследование, копируя любые существующие ACL
  2. Удаляет студенческую группу из существующих списков контроля доступа. При необходимости повторите для любых других групп, которые могут предоставить видимость каталога.
  3. Предоставьте группе классов возможность читать, выполнять и записывать данные в самом каталоге. Это не дает возможности просматривать какие-либо файлы в этом каталоге, просто запишите их.
  4. Предоставьте преподавателям возможность изменять контент в каталоге и во всех подкаталогах.
  5. Предоставьте пользователю CREATOR_OWNER (специальному пользователю NTFS, который позволяет предоставлять права Владельцам файлов) возможность читать созданные файлы.

Это позволит учащимся копировать файлы, не иметь возможности изменять их после копирования и просматривать только свои собственные файлы. Если учащийся попытается скопировать существующий файл, он получит сообщение об ошибке отказа в доступе. Если учащийся попытается открыть файл, который он знает, но не имеет на него прав, он получит сообщение об ошибке отказа в доступе.

Очевидно, для этого нужна некоторая инфраструктура:

  • Группа, состоящая из всех учеников класса
  • Группа, состоящая из всех преподавателей класса

Это значительно усложнит захват файлов, которые ученики не должны брать.