我试图在Windows 2008 R2服务器上审计文件访问,并且(我的错)启用了整个卷(比如磁盘e :)。 当然,我在安全日志中获得了大量的条目,这是一个很大的处理,甚至在试图理解这个问题的时候更大。 无论如何,我删除了SACL的卷(属性,安全,高级,审计),但所有的文件访问不断审计。 如果我在本地策略中禁用对象访问审计,系统将停止logging,但是当我创build一个testing文件夹时,设置其SACL并启用审计,即使自己的SACL为空,整个磁盘对象acccess也会重新开始审计。 我还在第一个文件夹级别设置和删除SACL,以防万一它是inheritance问题,但没有结果。 你们能帮我吗? 顺便说一句,我不使用高级审计。 TIA
乔治
你有没有尝试检查“用所有可inheritance的审计条目从这个对象replace所有后代所有现有的可审计的条目”?