启用文件审核的组策略

Question

我在这里错过了什么？我正在尝试启用文件审核，以便在事件查看器中通过安全日志查看谁删除了文件。我创建了下面的组策略计算机配置> Windows设置>本地策略/审核策略>审计对象访问。为成功和失败启用。为策略选中“启用”复选框。在“委托”选项卡中，我试图设置的计算机帐户已选中“已读取和应用策略”。以及经过验证的用户。

在文件夹本身上，我为"Delete子文件夹和文件“启用了"Everyone”审核，并为这些文件设置了"Delete“成功和失败。gpresult显示策略被应用，不确定是否重要，但是gpedit显示没有应用策略。

还应该在什么地方设置呢？

Answer 1

当使用遗留审核策略时，组策略设置

"Windows设置>安全设置>本地策略>安全选项:审核:强制审核策略子类别设置“

一定是残疾了。如果未配置，则启用默认设置。

也是一个好主意，不要混淆遗留和先进的审计政策设置。

Answer 2

首先，您需要从本地策略或域策略打开审核，并将其应用到要审核的机器上。一旦设置了策略，就需要对要审核的所有内容配置审核，这将开始将事件添加到事件日志中。

GPEDIT：

计算机配置-> Windows设置-->安全设置-->本地策略-->审核策略-->审核对象访问

你可以打开成功，因为如果他们没有删除东西的权限，那就会导致失败，所以你不想监视那些事件。

设置好后，转到要监视的文件夹，右键单击并转到属性。

单击“安全”选项卡-->高级->审核选项卡--> Edit -> Add -->然后添加访问该文件夹的组-->选择要审计的事件，然后单击“选择替换所有现有的可继承审计项”，对所有子文件夹和文件添加审计，然后单击“确定”。

您现在正在审核该文件夹。您需要监视特定事件的事件日志。还可以从以下链接获得帮助：

跟踪Windows服务器上的文件删除和权限更改：https://community.spiceworks.com/how_to/123983-track-file-deletions-and-permission-changes-on-windows-file-server

如何在Windows 2008和2008 R2：https://community.spiceworks.com/how_to/122828-how-to-enable-file-and-folder-access-auditing-on-windows-server-2008-and-2008-r2上启用文件和文件夹访问审核

希望这能有所帮助！