当试图在文件系统对象上testingSACL创build时,我注意到它没有logging到事件日志中。 经过一番挖掘,我发现我必须翻转本地安全策略中的“主交换机”才能logging条目。 因此,我启用了“审核对象访问”的成功和失败日志logging。
但是,当我查看事件日志时,它被审计事件发送给我甚至没有启用的事件。 防火墙失败,\ Windows32文件访问,其他大量随机审计项目开始溢出到他们以前没有的安全日志中。
所以,我的问题是,Windows是否带有一组预定义的SACL,当你激活这个“Master Switch? 我可以得到他们的名单和/或select添加/删除他们?
为什么不尝试使用“高级审核策略configuration”节点?
有关高级审核策略configuration的详细信息,请参阅http://go.microsoft.com/fwlink/?LinkId=140969
您可以使用该对象的“属性”对话框中的“安全”选项卡在文件系统对象上设置SACL。 点击高级button,然后转到审核选项卡。 您可以在那里编辑审核条目。
另外,您始终可以在“事件查看器”中过滤当前日志。