Архив форумов ЦИТФорума

[San_dok]

Достопочтенные спецы. Сабж, но опять лыжи не едут )
Небольшая сеть. Одноранг. 192.168.1.*
На сервере крутится эска. Цитрикс. Трабла такая. Който злодей лазит по расшаренным ресурсам. На некоторых машинах шара "для всех" и только доки. Вот по ним он и ходит.
Сервер 2003 R2. На всех 50-ти win2000. Установить кейлогеры на весь парк возможности нет, да и повесится потом от такой инфы можно. Ибо он может ходить по шарам с периодичностью даже раз в месяц.
Есть какое нибудь решение, что-бы после выяснения того, что доку кто-то чужой открыл и изменил, это можно было увидеть например по IP? "Зашарить" ресурсы pls не предлагать ))
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[San_dok]

Попробую немного прояснить.
4 офиса (ветка этой сети) работают круглосуточно. т.е. 4 оператора по 4 смены на каждой машине. Для каждой машины //operator* расшарена одна ОБЩАЯ папка на машине //ок. Там только доки. Доки необходимы для работы и отдела кадров и операторам.
Пример-оператор1 заходит в конце смены в папку, открывает доку и проставляет наряд по смене. Сохраняет файл и всё. Дока без свойств совместного доступа. Как можно узнать, если оператор2 зашел в не свой! наряд, и сделал изменения? Ибо в окончательной сводке файла, при открытии непосредственно на машине //ок, естественно только дата последнего изменения без всяческой дифференцировки.
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[and3008]

Включить аудит файловых операций на нужный каталог.
После этого в журнале событий воспользоваться фильтром и поискать нужное. Думаю только так, без доп. примочек.

IP ты не увидишь там, т.к. SMB работает поверх любого сетевого протокола. А вот имя юзверя, комп и время - запросто.

P.S. Не забудь размер файла журнала по-более выставить!

[San_dok]

Ловушка установлена. Ждёмс...
3008 спс)))
_________________
В тёмной комнате завсегда имеются тёмные грабли.