windows 2008文件服务器审计

大家好，又见面了，我是你们的朋友全栈君。

windows2008或者windows2008r2，系统做域内的文件服务器，能否做到谁删除某个共享出来的文件夹或者文件的操作审计？审计级别能做到怎么样一个程度？

回答：依据您的问题您想知道Windows2008文件服务器的审计相关。依据我的经验，这个要分成两种情况：

1.在远端访问，就是通过网络路径访问； 2.在本地上本地访问共享文件，就是在创建的机器上访问；

远端访问 访问共享文件或者共享文件夹 在就是当您在组策略中开启审计功能后，共享一个文件或文件夹后比如\\contoso.com\shared（shared可以是文件或者文件夹），您可以在security log中看到有关这个shared本身的操作比如何时创建的，谁操作的，在哪里操作的，进行了怎样的操作都是可以看到的。同时其他用户对其进行访问的时间和地点也是可以看到的。 访问共享子文件或者子文件夹 如果在这个共享文件夹下又创建了文件或者文件夹比如\\contoso.com\shared\aaa（aaa可以是文件或者文件夹）的话，当无论任何人去访问aaa或者修改aaa或者在aaa下又创建其他文件的时候，我们只能在日志中看到对shared的访问信息，比如谁，在哪里，时间，但是他做了什么操作我们就无法得知了。 本地访问共享文件 情况与远端访问是一样的。

Windows server 2003的DC也是支持开启审计功能的，步骤如下：

在DC上打开“Active Directory Users and Computer”。 在“View”菜单上，单击“Advance”。 右键单击“DC”，然后单击“properties”。 单击“Group Policy”选项卡，单击“Default domain Controller Policy”，然后单击“Edit”。 单击“computer configuration”，双击“Windows setting”，双击“security setting”，双击“local policy”，然后双击“audit policy”。

在右窗格中，右键单击“object access”，然后单击“properties”。 单击“define policy setting”，然后勾选success和fail并确定 刷新组策略； 创建共享文件并进行访问； 打开安全日志查看记录的事件。

Windows server 2008 R2的DC也有这个功能，不同的是组策略的位置与windows server 2003的不一样。2008R2开启审计的组策略为： Computer configuration\windows setting\security setting\Advance Audit Policy Configuration\Object access

在这个里面请把Audit detail file share, Audit file share, Audit file system这3个策略都是配置好，并将其中的success和fail都勾上。然后您就可以刷新策略，创建共享文件并在安全日志中查看相关事件了。

转载于:https://blog.51cto.com/3032439/1683980

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/135996.html原文链接：https://javaforall.cn