我正在尝试更仔细地审核用户对文件共享上的文件的访问。文件共享由运行 Windows Server 2008 R2 和 Windows Search 服务的服务器提供服务。我遇到了太多事件 4663(“尝试访问对象”)的问题。
出现该问题的原因是,当用户使用 Windows 资源管理器浏览文件夹,然后在文件共享上执行搜索时,系统会为返回的每个结果生成一个事件 4663。
这可能会在一分钟内生成数千个事件。我有什么办法可以更改搜索命中的记录方式吗?也许搜索服务可以有自己的用户?或者我可以禁用全文搜索功能吗?
答案1
这是组策略设置。现在,当用户搜索时,结果不会被记录为访问的文件。
关闭内容视图中的片段显示
地点:用户配置 – 管理模板 – Windows 组件 – Windows 资源管理器
此策略允许您在打开内容视图时禁用文件内容片段的显示。内容视图是执行搜索时返回的默认视图,显示返回文件的内容片段。
默认配置:片段显示在内容视图中
目的:如果您希望在搜索返回时默认禁用显示文件内容片段,则应启用此策略。这可帮助用户避免在非安全环境中通过 Windows 资源管理器搜索意外显示敏感数据。
http://technet.microsoft.com/en-us/library/dd744697(WS.10).aspx#WS_TurnOffDisplayofSnippets