我被要求找到一种方法来监控公司共享文件服务器(简单的 Windows 共享目录)上特定文件夹中文件的更改(修改、重命名、删除、移动)。我现在想知道的是如何找出进行这些更改的用户/计算机的名称/IP。有什么想法吗?
答案1
您将要在组策略中为该服务器启用审核对象访问审核策略:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
要审核未经授权的访问,请启用失败审核。
要审计谁在访问,请启用成功审计。
http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
您也可以右键单击任何文件夹,在“安全”选项卡下,选择“高级”,然后选择“审核”选项卡。
然后,您可以添加要审核的用户组,并选择要监控的操作。
移动、复制、删除等的所有日志信息都将位于服务器事件查看器的安全日志中。