Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Контроль пользователей Windows 2003 Terminal Server

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Windows 2003 + Terminal Server + ... (довольно обширный набор функций, справочников и т.д.) Отсюда у многих пользователей прав больше, чем хотелось бы. Но это догма, давать рекомендации по настройке прав доступа не нужно.
 
Хотелось бы организовать наблюдение за действиями пользователей терминал сессий
как можно проще и эффективнее (по подобию LanAgent http://forum.ru-board.com/topic.cgi?forum=35&topic=27619#1). Анализ штатных журналов аудита винды (непостедственно или с помощью многочисленных анализаторов) не подходит по различным причинам.
 
Буду презнателен всем за рекомендации по вопросам:
- каким образом  
- с помощью каких средств можно организовать логирование (а не наблюдение в реальном масштабе времени).
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 23:34 24-08-2006 | Исправлено: svkov, 15:14 31-08-2006
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Простого и эффективного решения пока не нашел.
Значит остается в идеале Microsoft Operations Manager (MOM 2005)    
Или как более простая альтернатива  
http://forum.ru-board.com/topic.cgi?forum=8&topic=6411 [?]  
 
А хотелось бы что-то более простое и менее громоздкое ...  
 
Если кто найдет - пишите.  
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 23:42 25-08-2006
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Частичное (значительно лучше всего, что я пересмотрел и менее громоздкое) решение предложил
azar323
http://forum.ru-board.com/topic.cgi?forum=8&topic=1908&start=1620
 
Запрос (файл IP.sql) мне больше нравится вида:
 
SELECT TimeGenerated,
EXTRACT_TOKEN(strings,0,'|') as loginName,
EXTRACT_TOKEN(strings,4,'|') as LogonComp,
EXTRACT_TOKEN(strings,5,'|') as loginIP,
REVERSEDNS(loginIP) as Host
INTO Report_Terminal.txt FROM Security WHERE EventID = 682
 
Но хотельсь бы промониторить и чем занимался клиент
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 09:18 31-08-2006 | Исправлено: svkov, 15:12 31-08-2006
angelweb



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
svkov
 
Наблюдение за сессией (в реальном времени) или "кто что делает ?"
 
Если 1, то настраивай remote control
 
А какие конкретно справочники используются ? ...  
 
Может сделать так ?  
 
Ещё удобней использовать Citrix (он как раз удобен для публикации приложений, без взаимодействия с рабочим столом).

----------
Первое правило Windows - делай резервную копию ©.
CISCO на РУССКОМ
Всего записей: 687 | Зарегистр. 09-12-2004 | Отправлено: 09:31 31-08-2006 | Исправлено: angelweb, 09:32 31-08-2006
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
angelweb
Спасибо за ответ, но вопрос не в том КАК публиковать приложения или организовать к ним доступ.
 
Вопрос - как по прошествии времени (не в реальном времени) разобраться кто и что делал (не как запретить что-то, а именно при необходимости просмотреть когда, что и т.д. делал клиент).
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 15:09 31-08-2006
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Даже не верится, что ни у кого не возникало этой или аналогичной задачи ????
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 19:38 14-09-2006
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Встретил еще один вариант быстрого просмотра лога  - утилитой auditlog
http://www.networkdoc.ru/files/insop/citrix/read.html?book/chap08.html
 
Со времени поднятия вопроса освоил и поднял и МОМ2005 и Citrix MF XP для многого они хороши, но данной задачи не решают. Т.о. желаемого решения вопроса так пока и не встретил.  
 
Вопрос ОТКРЫТ
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 21:39 17-12-2006 | Исправлено: svkov, 21:44 17-12-2006
azar323

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возможно, в мониторинге юзеров поможет клавиатурный шпион. Как вариант, могу предложить попробовать (не уверен, что получится в терминальном режиме) Punto Switcher. Программка имеет прямым назначением менять набранное не в той раскладке слово на правильное и переключать раскладку. Удобная вещь, с удовольствием используемая юзерами. Но у неё есть одна доп. фича - всё, что набрано может сохраняться в т.н. "дневник", доступный при вводе правильного пароля из другого экзешника. Инфа там запаролена, конечно, но никто не мешает "забыть" сказать пароль юзеру. Или наоборот сказать, показать, как пользоваться, и попутно установить пароль попроще. Тогда и юзер будет доволен (бывали случаи, когда после нескольких часов набора текста в ворде юзер примитивно забывал сохранить файл и потом вытаскивал его из дневника), и админ - он видит, в каком окне (логи хранят ещё и имя окна, например, Winword.exe) когда что набиралось. Да, и буфер обмена тоже сохраняется в "дневнике". Осталось только понять, работает ли эта программа в терминальном режиме...
Второй вариант решения - запуск при входе в систему шпиона, принтскринящего экран юзера в спец. папочку. Слышал, что такие есть, но не пользовался, поэтому конкретики никакой дать не могу.
Буду рад узнать результаты опытов в своём ПМ.
Всего записей: 25 | Зарегистр. 27-11-2003 | Отправлено: 01:32 02-01-2007
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Punto Switcher в данном случае довольно хилый вариант, т.к. пишет только клавиатуру, а основная масса операций юзером производится мышью. Вверху я писал, что если уж шпион, то что-то вроде LanAgent (но он в теримнале работает довольно криво)
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 15:01 02-01-2007
Quark Fusion



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Хотелось бы организовать наблюдение за действиями пользователей терминал сессий  
как можно проще и эффективнее (по подобию LanAgent http://forum.ru-board.com/topic.cgi?forum=35&topic=27619#1).

А чем LanAgent не устраивает и что конкретно надо, если не наблюдение в реальном времени? Запись видео? Вроде LanAgent это может.
Можно найти какую-нить грабилку экрана и автоматически запускать с сессией, потом собирать скриптом скриншоты в видео-файл, еще можно дополнить её клавиатурным шпионом.
Всего записей: 146 | Зарегистр. 21-12-2006 | Отправлено: 07:52 06-01-2007
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Quark Fusion

Цитата:
А чем LanAgent не устраивает

LanAgent устроил бы полностью - если б работал нормально в терминале. Он у меня стоит более чем на сотне компов (XP, 2k) в основном выключен, при необходимости включается. Не все безоблачно (периодически бывают глюки, но среднестатистически устраивает).  
Но ..... на терминалах LanAgent пишет только первого юзера, последующих воспринимает как system и ведет неупорядоченную запись. Пробовал на различных версиях LanAgent.
 

Цитата:
и что конкретно надо, если не наблюдение в реальном времени

В шапке я акцентировал на этом внимание - ЛОГИРОВАНИЕ действий пользователей. Снимать видео нет ни какой необходимости - достаточно скринов или логов. Главное - иметь постфактум возможность при необходимости разобраться: "Чем конкретный пользователь занимался в определенный интервал времени".
НАПРИМЕР: Пользователю разрешено работать с 5 приложениями на сервере. Требуется ответить, чем занимался пользователь 8 дней назад с 12.00. до 16.00, какие приложения использовал и примерно в каких целях (служебных, личных)
 
При всем этом естественно - прога (шпион) при подключении к терминалу 10-15 пользователей не должна съедать своей работой львиную долю ресурсов, быть совершенно не понятного происхождения.
 
 
 
 
 
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 01:48 07-01-2007
Quark Fusion



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кроме как написать свою прогу для логирования, ничего в голову не приходит Зато можно сделать всё как нравится
Теоретически можно сделать прокси на трафик терминальной сессии и оттуда схватить данные для создания видеофайла, а запись кто какие программы запускал лекго реализуется встраиванием в систему монитора запуска процессов. А вот чем конкретно занимался пользователь может быть очевидно только из видеозаписи, может он просто мозаику из данных в экселе собирал
 
А обращаться к разработчикам LanAgent не пробовали?
Всего записей: 146 | Зарегистр. 21-12-2006 | Отправлено: 03:04 07-01-2007
svkov

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://citrix.pp.ru/forum/viewtopic.php?p=12862&highlight=#12862
Может кто пользовался упомянутыми в третьем снизу посте софтинами и может поделиться впечетлениям ???
 
Добавлено:
Наверное ЭТО будет решением:
 
Технология IRIS
 
Что вы можете сказать о возможности записывать и повторно воспроизводить ход сессии Citrix ICA? Если вам интересно, то ознакомьтесь с программным обеспечением проекта IRIS (ICA Record/ICA Surveillance), которое предназначено именно для этого. Оно обеспечивает визуализацию того, как действия пользователя отражаются при регистрации событий (event logs), расширение возможностей мониторинга системы защиты и снижение затрат на согласование с различными требованиями и правилами.
 
С помощью системы IRIS администратор Citrix может:  
 
записывать ход сессий ICA, которые отвечают определенным критериям  
повторно воспроизводить ход записанных сессий ICA  
проводить поиск записей по типу приложения, ID пользователя или временным рамкам сессии  
надежно и безопасно протоколировать ход сессий для постоянного хранения  
распоряжаться файлами протоколов при постоянном хранении
Система IRIS предназначена для отслеживания работы пользователя с любыми приложениями, развертываемыми на Citrix Presentation Server. Пользователи не могут блокировать или вмешаться в процесс записи, поскольку все элементы IRIS размещены на сервере под контролем администратора. IRIS использует новую высокоэффективную технологию, подобную используемой в нашем протоколе ICA, на которую подана заявка на патент.  
 
IRIS улучшает управление рисками, предоставляя компаниям следующие возможности:  
 
проводить аудит заданных политик в области безопасности и нормативных требований и документировать их пригодность и эффективность  
исследовать подозрительные случаи на возможные нарушение нормативных требований и бреши в политиках безопасности  
отслеживать основные группы или сценарии доступа, для проведения тщательного анализа нарушений защиты или нормативных требований  
Всего записей: 103 | Зарегистр. 03-02-2006 | Отправлено: 16:07 31-01-2007
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Контроль пользователей Windows 2003 Terminal Server


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru