Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Windows 2003 Server - сбрасываются разрешения NTFS (http://forum.oszone.net/showthread.php?t=198724)

Downkey 06-02-2011 11:07 1605792
Windows 2003 Server - сбрасываются разрешения NTFS
 
Народ, помогите!
Имеется небольшая локалка, в ней W2003 Server выполняет роль DC. Он же через файрвол является шлюзом в интернет, на нем же установлен сервер администрирования Каспера. И тут же имеется расшаренный ресурс для пользователей домена, на котором лежит база 1С 7.7
Примерно с неделю назад началась такая муть:
периодически на каталоге (и соответсвенно на подчиненных) каталогах и файлах сбрасываются разрешения NTFS. Т.к. 1С работает по шаре, то доступ на шару "всем - изменение", разрешения NTFS установлены "пользователям домена - изменение".
И вот ежесуточно разрешения NTFS сбрасываются в "пользователям домена - только чтение".
Почему это началось и как с этим бороться ?

monkkey 07-02-2011 09:18 1606533
Цитата:
Цитата Downkey
Почему это началось и как с этим бороться ? »
Проверьте на вирусы, загляните в журнал событий.

Downkey 07-02-2011 16:26 1606891
Вирусов нет. В жунале событий ничего странного или необычного нет.

mesmer 07-02-2011 17:46 1606971
пересоздать шару с нуля.
в целом я бы сделал так, создал группу - 1с допустим в нее пользоателей нужных...
к тому же более точно указал в разрешениях что можно что нельзя (включая просмотр permission's).
там же смотрим - какие права у системы и создателя.
логи аудита не включены?да и system логи какие, может что пишет, есть ли анонимные покдлючения?
а можно админ кит пригасить на время?

Downkey 07-02-2011 18:16 1606992
Про шару попробую.
Пользоватлей всего-то меньше десятка. все только для 1С, наверное нет смысла загонять их в отдельную группу.
В разрешениях указано довольно подробно.
У системы права полные, у создателя полный доступ. Пробовал выставлять для нее "НЕ полные" права, т.е. только "изменение". Но одновременно с изменениями прав для пользователей, у системы пояляются права ПОЛНЫЕ.
Логи аудита включены. Судя по логу безопасности, периодически случаются события с кодом 576. Где как раз и изменяются разрешения. После этого происходит событие входа в систему 540 и последующего выхода из системы 538. Указывается пользователь PLUS-1C$ (имя ПК: PLUS-1C), что это за пользователь такой?
В логах системы никакого криминала.
Анонимные подключения иногда бывают, но только вход и выход. Изменения прав проходят по событию 576 от имени системы.

mesmer 08-02-2011 08:06 1607379
http://msdn.microsoft.com/en-us/library/ms849065.aspx

Downkey 08-02-2011 14:14 1607590
Нет, дело не в этом. Чтото другое. Разрешения на перекрестную проверку есть.

mesmer 09-02-2011 06:38 1608139
а в целом вопрос такой всче в голове крутился, а обновления безопасности стоят?

QRS 09-02-2011 23:24 1608911
Downkey, настройте аудит доступа к объектам и установите аудит для "Все" на пункт "Смена разрешений".
Если это делает какое-то приложение и\или пользователь - Вы это увидите... если не поможет - ставьте аудит на родительских каталог.

Downkey 10-02-2011 13:38 1609274
Обновления винды отключены.
Аудит включен, разрешения изменяет учетка SYSTEM.

В общем, разобрался. Виновата была самоделишная групповая политика.


Время: 06:28.

Время: 06:28.
© OSzone.net 2001-