我在这里遗漏了什么?我正在尝试启用文件审核,以便我可以通过事件查看器中的安全日志查看谁删除了文件。我创建了以下组策略计算机配置> Windows 设置> 本地策略/审核策略> 审核对象访问。成功和失败时启用。已选中策略的已启用复选框。在委派选项卡中,我尝试为其设置的计算机帐户已读取并应用所选策略。以及经过身份验证的用户。
在文件夹本身上,我已启用“所有人”的“删除子文件夹和文件”以及“删除”审核,并设置了成功和失败。gpresult 显示策略已应用,不确定是否重要,但 gpedit 显示策略未应用。
还应该在哪里设置?
答案1
使用旧式审核策略时,组策略设置
“Windows 设置 > 安全设置 > 本地策略 > 安全选项:审核:强制审核策略子类别设置”
必须禁用。如果没有配置,则默认启用。
不要混淆传统和高级审计策略设置也是一个好主意。
答案2
首先,您需要从本地策略或域策略中启用审核,并将其应用于要审核的计算机。设置策略后,您需要对要审核的所有内容配置审核,然后开始将事件添加到事件日志中。
GP编辑:
计算机配置-->Windows 设置-->安全设置-->本地策略-->审核策略-->审核对象访问
您可以打开成功,因为如果他们无权删除内容那么就会造成失败,所以您不想监视这些事件。
一旦完成,转到要监视的文件夹,右键单击并转到属性
单击安全选项卡 --> 高级 --> 审核选项卡 --> 编辑 --> 添加 --> 然后添加有权访问该文件夹的组 --> 选择要审核的事件并单击确定 --> 选择替换所有现有的可继承审核条目,以将审核应用于所有子文件夹和文件并单击确定
您现在正在审核该文件夹。您需要监控特定事件的事件日志。还可以从以下链接获取帮助:
跟踪 Windows 文件服务器上的文件删除和权限更改:https://community.spiceworks.com/how_to/123983-track-file-deletions-and-permission-changes-on-windows-file-server
如何在 Windows Server 2008 和 2008 R2 上启用文件和文件夹访问审核:https://community.spiceworks.com/how_to/122828-how-to-enable-file-and-folder-access-auditing-on-windows-server-2008-and-2008-r2
希望这可以帮助!