Мне нужно включить аудит действий удаления для определенной сетевой папки общего доступа (и всех ее дочерних папок) на машине Windows Server 2008 r2. Самое близкое, что я смог найти, это эта статья -http://www.intelliadmin.com/index.php/2008/03/используйте-аудит-для-отслеживания-кто-удалил-ваши-файлы/но это относится к 2003 году.
В комментариях один человек отмечает, что EventID 560 и 564 не имеют отношения к Win 2003. Они предполагают, что удаление в Win 2008 имеет EventID 4656, но я не нахожу ни одного из этих событий в своем журнале безопасности. Я включил аудит для папки через вкладку безопасности после щелчка правой кнопкой мыши по папке. Другой комментарий в цитируемой ссылке предполагает, что аудит должен быть включен как для локальной файловой системы, так и для сервера, а также что групповые политики могут перезаписывать любые локальные политики.
Я попытался включить аудит в локальных политиках безопасности в разделе Локальные политики\Политика аудита\Аудит доступа к объектам, но он, похоже, удаляется каждый раз, когда я закрываю консоль политики. Я локальный администратор на сервере, но не администратор домена, и немного застрял на этом этапе. Буду признателен за любые указания.
решение1
Включите корзину Active Directory на этом общем ресурсе и после аудита удалите изменения в Active Directory.Пошаговое руководство по использованию корзины Active Directory)
Использование механизма аудита
В Windows Server 2008 R2, как и в Windows Server 2008, можно использовать механизм аудита доменных служб Active Directory (AD DS) с политикой аудита изменений службы каталогов для регистрации старых и новых значений при внесении изменений в объекты Active Directory и их атрибуты. Мы рекомендуем вам реализовать аудит в вашей среде Active Directory для отслеживания всех удалений объектов, времени удаления объектов и имен учетных записей, которые выполняют эти удаления объектов. Для получения дополнительной информации см. Пошаговое руководство по аудиту AD DS (http://go.microsoft.com/fwlink/?LinkID=125458).
От;Приложение A: Дополнительные задачи корзины Active Directory
Примечание: для этого решения вам нужно быть больше, чем просто локальным администратором.
решение2
Сначала настройте аудит доступа к объектам в групповой политике AD или в локальном GPO сервера. Настройка находится в разделе Конфигурация компьютера-->Параметры Windows-->Параметры безопасности-->Локальные политики-->Политики аудита. Включите аудит успеха/неудачи для "Аудит доступа к объектам".
После этого настройте запись аудита для конкретной папки, которую вы хотите проверить. Щелкните правой кнопкой мыши по папке-->Свойства-->Дополнительно. На вкладке аудита нажмите Добавить, затем введите пользователей/группы, которых вы хотите проверить, и какие действия вы хотите проверить - аудит Полный доступ будет создавать запись аудита каждый раз, когда кто-либо открывает/изменяет/закрывает/удаляет файл, или вы можете просто проверить операции удаления.
После выполнения этих действий все удаления файлов будут отображаться в журнале безопасности файлового сервера:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
решение3
Я знаю, что это старый вопрос, но у меня был такой же вопрос, и я не нашел ответа, так что надеюсь, это поможет кому-то еще. Я в итоге нашел событие удаления с идентификатором события: 4663. Вот пример:
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000