凡事有利有弊,这个对立面是永远存在的,文件共享访问同样也存在这样的问题。虽然可以通过ntfs的权限以及在域里面为用户分组进行权限的管控,但很难做到对每一个独立用户的权限管控,因此在实际应用中就总有这样那样的问题,比如某个文件又被某个不知名的人删除了。到最后大家都推脱责任,因为某个文件夹是某些人共同拥有权限的,所以即便知道是哪些人中的某人删除了文件,但你无法知道是具体的人。
虽然删除的文件可以通过shadow copy或其他备份手段找回,但毕竟麻烦,如果能让系统记录这一事件就比较好了,有系统记录就推脱不了了,按以下几步操作即可实现对共享目录中的文件删除事件的记录。
1、打开“组策略编辑器”,依次定位到“计算机配置→windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。
2、添加审核用户
右键单击需要审核的共享文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
到指定共享目录中,使用受审核记录的用户删除一个文件,这时在系统的安全日志中就会有事件5663删除记录了。
时间: 2024-11-05 02:36:46