如果AD域的成员Windows文件/文件夹审核不起作用

Question

我需要为Windows7-10工作站实现文件/文件夹审核，以便记录域管理员的所有访问(读、写/修改、创建、删除)。

我在组策略中启用了“审核对象访问”，并且它是有效的(rsop.msc)：

然后设置测试文件夹的审核属性：

右击“文件夹”>“属性”>“安全性”>“高级”>“审核”选项卡>单击“继续”>“添加”>“域管理员”>“检查所有成功和失败”：

我在安全事件日志中看到了一些条目，用于设置上面的审计属性(例如，“更改了对象上的审核设置。”)，但当我修改或删除该文件夹中的文件时，安全日志中不会生成任何事件。我还试图在审计设置中使用"Everyone“而不是"Domain”，但这并没有什么区别。

以上测试是在Windows7Pro x64 SP1 w/所有更新上进行的。

我遗漏了什么？我怎样才能让审计按预期的方式工作？

--更新1--

我刚刚测试了一台Windows 7和一台Windows 10机器，它们不是AD域的成员，它的工作就像一种魅力！

这就好像“审核对象访问”没有生效一样(尽管它在rsop.msc和"gpresult /z“中都显示为”成功、失败“)。

在GPO中，我还需要做些什么，或者是什么导致这件事不起作用？

Answer 1

我终于找到了这篇文章中发生的事情：

https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/

一旦您开始应用高级审核配置策略，遗留策略将被完全忽略。

我在GPO中使用高级审计配置，这使得遗留的“审核对象访问”被忽略。

我转而使用高级审计配置来进行对象访问审核，现在它可以正常工作了。

Answer 2

首先，您需要从本地策略或域策略打开审核，并将其应用到要审核的机器上。一旦设置了策略，就需要对要审核的所有内容配置审核，这将开始将事件添加到事件日志中。

设置好后，转到要监视的文件夹，右键单击并转到属性。

单击“安全”选项卡-->高级->审核选项卡--> Edit -> Add -->然后添加访问该文件夹的组-->选择要审计的事件，然后单击“选择替换所有现有的可继承审计项”，对所有子文件夹和文件添加审计，然后单击“确定”。

在Windows7和Windows 2008 R2中，可以跟踪成功和失败的审计设置的数量已经增加到53个。本逐步指南演示了在测试环境中设置高级Windows7和Windows 2008 R2安全审计策略基础结构的过程。它还指导您完成配置一些具有代表性的高级安全审计策略设置的过程：https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx。

此外，要获得关于预定访问事件(如文件删除、访问拒绝、读/写、特定用户或文件访问)的自动电子邮件警报，您将从此审计解决方案获得帮助。

谢谢,