Windows Server 2008 r2 マシン上の特定のネットワーク共有フォルダ (およびそのすべての子) の削除アクションの監査を有効にする必要があります。私が見つけた最も近いものは、この記事です -http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/しかし、それは 2003 年に関係します。
コメントの中で、イベント ID 560 と 564 は Win 2003 には関係ないと指摘する人がいます。Win 2008 での削除はイベント ID 4656 であると示唆していますが、セキュリティ ログにはこれらのイベントは見つかりません。フォルダーを右クリックした後、セキュリティ タブ オプションを使用してフォルダーの監査を有効にしました。引用リンクの別のコメントでは、監査はローカル ファイル システムとサーバーの両方で有効にする必要があり、グループ ポリシーはローカル ポリシーを上書きできると示唆しています。
ローカル セキュリティ ポリシーのローカル ポリシー\監査ポリシー\オブジェクト アクセスの監査で監査を有効にしようとしましたが、ポリシー コンソールを閉じるたびに削除されるようです。私はサーバーのローカル管理者ですが、ドメイン管理者ではないため、この時点で行き詰まっています。何かアドバイスがあれば、ぜひお願いします。
答え1
その共有で Active Directory のごみ箱を有効にし、監査後に Active Directory の変更を削除します。(Active Directory ごみ箱のステップバイステップガイド)
監査メカニズムの使用
Windows Server 2008 R2 では、Windows Server 2008 と同様に、Active Directory ドメイン サービス (AD DS) 監査メカニズムをディレクトリ サービス変更監査ポリシーとともに使用して、Active Directory オブジェクトとその属性に変更が加えられたときに古い値と新しい値をログに記録できます。Active Directory 環境に監査を実装して、すべてのオブジェクトの削除、オブジェクトの削除時刻、およびこれらのオブジェクトの削除を実行するアカウント名を追跡することをお勧めします。詳細については、「AD DS 監査のステップ バイ ステップ ガイド」(http://go.microsoft.com/fwlink/?LinkID=125458)。
から;付録 A: Active Directory のごみ箱の追加タスク
注意: このソリューションを利用するには、ローカル管理者以上の権限が必要です。
答え2
まず、AD グループ ポリシーまたはサーバーのローカル GPO で監査オブジェクト アクセスを構成します。設定は、コンピューターの構成 --> Windows の設定 --> セキュリティの設定 --> ローカル ポリシー --> 監査ポリシーにあります。「監査オブジェクト アクセス」の成功/失敗の監査を有効にします。
その後、監査する特定のフォルダーに監査エントリを構成します。フォルダーを右クリックし、[プロパティ]、[詳細設定] の順にクリックします。監査タブで [追加] をクリックし、監査するユーザー/グループと監査するアクションを入力します。フル コントロールを監査すると、誰かがファイルを開く/変更する/閉じる/削除するたびに監査エントリが作成されます。または、削除操作のみを監査することもできます。
これらの手順を実行すると、ファイルの削除がファイル サーバーのセキュリティ ログに表示されます。https://technet.microsoft.com/ja-jp/library/dd772690%28WS.10%29.aspx より
答え3
これは古い質問だとは思いますが、私も同じ質問をしたことがあり、答えが見つからなかったため、これが他の誰かの役に立つことを願っています。最終的に、イベント ID: 4663 の削除イベントを見つけました。次に例を示します。
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000