我需要在Windows Server 2008 R2计算机上启用审核特定networking共享文件夹(及其所有子项)的删除操作。 我能find的最接近这篇文章 – http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/,但它涉及到2003年。
在注释中,一个人注意到EventID 560和564与Win 2003无关。他们build议在Win 2008上删除EventID 4656,但在安全日志中找不到任何这些事件。 右键单击文件夹后,通过安全选项卡选项启用审核。 引用链接中的另一个注释表明,必须在本地文件系统和服务器上启用审计,并且该组策略可以覆盖任何本地策略。
我试图在本地策略\审核策略\审核对象访问下的本地安全策略中启用审核,但似乎每次closures策略控制台都会被删除。 我是服务器上的本地pipe理员,但不是域pipe理员,有点卡在这一点上。 任何指针将主要赞赏。
在该共享上启用Active Directory回收站,然后在审核中删除Active Directory中的更改。 ( Active Directory回收站循序渐进指南 )
使用审计机制
在Windows Server 2008 R2中,与在Windows Server 2008中一样,在对Active Directory对象及其属性进行更改时,可以使用Active Directory域服务(AD DS)审核机制和目录服务更改审核策略logging旧值和新值。 我们build议您在Active Directory环境中实施审核,以跟踪所有对象删除,对象删除时间和执行这些对象删除的帐户名称。 有关详细信息,请参阅AD DS审核分步指南(该链接可能指向英文页面 )( http://go.microsoft.com/fwlink/?linkid=125458&clcid=0x804 )(该链接可能指向英文页面 )。
从; 附录A:其他Active Directory回收站任务
NB,你需要比这个解决scheme的本地pipe理员更多。
首先在AD组策略或服务器本地GPO中configuration审计对象访问。 设置在计算机configuration – > Windows设置 – >安全设置 – >本地策略 – >审计策略。 启用“审核对象访问”的成功/失败审核。
之后,在您要审核的特定文件夹上configuration审核条目。 右键点击文件夹 – >属性 – >高级。 在审核选项卡中,单击添加,然后input您希望审核的用户/组以及您希望审核的操作 – 审核完全控制将在每次打开/更改/closures/删除文件时创build审核条目,或者您只能审计删除操作。
执行这些步骤后,将在文件服务器的安全日志中显示任何文件删除: https : //technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
我知道这是一个古老的问题,但我有同样的问题,从来没有find答案,所以希望这可以帮助别人。 我最终发现事件ID为4663的删除事件。下面是一个例子:
An attempt was made to access an object. Subject: Security ID: xxx\administrator Account Name: administrator Account Domain: xxx Logon ID: 0x64ba61 Object: Object Server: Security Object Type: File Object Name: D:\xxx\New folder Handle ID: 0xca8 Process Information: Process ID: 0xc80 Process Name: C:\Windows\explorer.exe Access Request Information: Accesses: DELETE Access Mask: 0x10000