我有一台运行 2008 R2 的服务器,是否可以添加/启用审核文件访问的角色/功能。例如,用户 1 删除了此文件夹,此文件由用户 2 编辑等。我遇到一些员工删除公共驱动器中的文件夹的问题(我不知道是意外还是故意),但每个人似乎都否认对此有所了解,所以我希望在这种情况下可以查看日志,这样我就可以知道谁在做什么。
答案1
是的,在本地安全策略(或更好的域 GPO)中启用文件审核。它是“审核对象访问”选项,您可以启用成功或失败或两者。
启用审核后,通过转到文件夹的属性 -> 安全选项卡 -> 高级 -> 高级安全设置 -> 审核选项卡,选择要审核的文件/文件夹。添加应记录对对象的访问的用户或组。
当发生某些事情时,检查安全日志以查看是谁做的。
答案2
在我们的组织中我们使用连接监视器(http://www.10-strike.com/connectionmonitor/) 我们网络上有大约 1000 台主机,因此用户总是会更改或替换彼此的文件。所以他们当然会向我提出问题。所以现在我有了完整的日志,它显示了谁、何时以及在共享文件夹中做了什么。它真的很有用。
答案3
我同意 mfinni 的观点,这不是爬取数十万个日志条目的最佳方式……虽然这是一个付费解决方案,但我相信有开源/更便宜的版本。我过去曾多次使用过这个 -http://www.scriptlogic.com/products/change-auditor/