我试图审计 Windows 2008 R2 服务器中的文件访问,并且(我的错)为整个卷(例如,磁盘 e:)启用它。当然,我在安全日志中收到了很多条目,这是一个很大的数量,在尝试理解其工作原理时,这个数量甚至更大。无论如何,我删除了卷的 SACL(属性、安全、高级、审核),但所有文件访问仍被审核。如果我在本地策略中禁用对象访问审核,系统将停止记录,但是当我创建测试文件夹、设置其 SACL 并启用审核时,整个磁盘对象访问将再次开始被审核,即使其自己的 SACL 为空。我还设置并删除了第一个文件夹级别的 SACL,以防万一是继承问题,但没有得到任何结果。你们能帮我吗?顺便说一句,我没有使用高级审核。TIA
乔治
答案1
您是否尝试过检查“用该对象的可继承审计条目替换所有后代上所有现有的可继承审计条目”?