Bonjour,
Je sollicite votre aide pour un domaine que je ne maîtrise pas. Je sais que je trouverai plusieurs sympathiques experts ici.
Je travaille pour une société qui a une centaine d'utilisateurs en RDP qui accèdent notamment à 1 serveur de fichier. Il n'y a qu'un domaine, c'est plutôt simple.
Ils souhaiteraient savoir quels utilisateurs accèdent aux données.
Exemple :
Est-ce que les comptables accèdent aux fichiers du dossier comptable, à quel fréquence? Vont-ils dans des dossiers où ils n'ont rien à faire comme le dossier comptable d'une société qui ne les concerne pas?
Vont-ils parfois essayer de lire le répertoire du service fabrication auquel ils n'ont pas accès ?
Je souhaiterais donc récupérer les réussites et échecs d'accès aux fichiers sur ce serveur avec les noms des comptes AD qui ont tenté d'accéder à la donnée.
Pour le moment, je n'ai créé aucune GPO sur les DC. J'ai activé en local sur le serveur de fichier:
Dans la stratégie avancée d'audit système :
- Auditer le partage de fichier détaillé
- Auditer la fermeture de session / Auditer l'ouverture de session
Dans Stratégie locales/Stratégie d'audit:
- Auditer l'accès aux objets
Puis, dans l'onglet sécurité, paramètres avancés, onglet Audit du dossier partagé, j'ai activé les entrée d'audit en réussite et échec.
Actuellement, je vois mes remontées dans l'observateur d’événement mais c'est peu pratique à analyser. Je ne connais pas PowerShell, je pense que c'est une piste à explorer pour créer des rapports csv par exemple. Le but final est de fournir un Excel hebdomadaire de tout ça.
Je cherche. Si certains d'entres-vous souhaite m'apporter leur aide ou simplement me fournir des liens pour apprendre plus vite le powershell ou comprendre un peu mieux le fonctionnement de ces audits windows, je les remercie chaleureusement.
Merci!