Windows Server 2008 r2 でファイルとフォルダの削除を監査する方法

その共有で Active Directory のごみ箱を有効にし、監査後に Active Directory の変更を削除します。(Active Directory ごみ箱のステップバイステップガイド）

監査メカニズムの使用

Windows Server 2008 R2 では、Windows Server 2008 と同様に、Active Directory ドメイン サービス (AD DS) 監査メカニズムをディレクトリ サービス変更監査ポリシーとともに使用して、Active Directory オブジェクトとその属性に変更が加えられたときに古い値と新しい値をログに記録できます。Active Directory 環境に監査を実装して、すべてのオブジェクトの削除、オブジェクトの削除時刻、およびこれらのオブジェクトの削除を実行するアカウント名を追跡することをお勧めします。詳細については、「AD DS 監査のステップ バイ ステップ ガイド」(http://go.microsoft.com/fwlink/?LinkID=125458）。

から;付録 A: Active Directory のごみ箱の追加タスク

注意: このソリューションを利用するには、ローカル管理者以上の権限が必要です。

まず、AD グループ ポリシーまたはサーバーのローカル GPO で監査オブジェクト アクセスを構成します。設定は、コンピューターの構成 --> Windows の設定 --> セキュリティの設定 --> ローカル ポリシー --> 監査ポリシーにあります。「監査オブジェクト アクセス」の成功/失敗の監査を有効にします。

その後、監査する特定のフォルダーに監査エントリを構成します。フォルダーを右クリックし、[プロパティ]、[詳細設定] の順にクリックします。監査タブで [追加] をクリックし、監査するユーザー/グループと監査するアクションを入力します。フル コントロールを監査すると、誰かがファイルを開く/変更する/閉じる/削除するたびに監査エントリが作成されます。または、削除操作のみを監査することもできます。

これらの手順を実行すると、ファイルの削除がファイル サーバーのセキュリティ ログに表示されます。https://technet.microsoft.com/ja-jp/library/dd772690%28WS.10%29.aspx より

これは古い質問だとは思いますが、私も同じ質問をしたことがあり、答えが見つからなかったため、これが他の誰かの役に立つことを願っています。最終的に、イベント ID: 4663 の削除イベントを見つけました。次に例を示します。

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000