今天,我收到一位用户的电子邮件,询问为什么他无法访问我们其中一台服务器上的共享文件夹。
例如:\\servername\share\ = 访问被拒绝。
当我检查文件夹的共享权限时,我惊讶地发现该用户已从“共享权限”列表中删除。
现在我的问题是:是否可以追踪谁或什么删除了文件夹上的用户共享权限?
我研究了不同的事件日志,但没有发现任何迹象表明有人更改了共享权限。
诚挚问候 Martin
答案1
1)
在服务器 servername 上的本地安全策略中启用审核。在审核策略中选择“审核对象访问(成功和失败)”选项。
cmd --> secpol.msc --> 本地策略 ---> 审核策略 ---> 审核对象访问 ---> 将“安全设置”从“无审核”更改为“成功,失败”
应该有“解释此设置”标签供您阅读
2)
在 \servername\share 上配置 SACL。指定对 Everyone 的完全控制权限进行审核。
在 Windows 资源管理器中右键单击文件夹 ---> 选择属性 --> 安全选项卡 ---> “高级...”按钮 --> 审计选项卡
审计日志:eventvwr.msc --> 安全
答案2
我怀疑更改共享权限是一种特权的使用。您可以打开特权使用审计。