凡事有利有弊这个对立面是永远存在文件共享访问同样也存在这样问题虽然可以通过NTFS权限以及在域里面为用户分组进行权限管控但很难做到对每个独立用户权限管控因此在实际应用中就总有这样那样问题比如某个文件又被某个不知名人删除了到最后大家都推脱责任某个文件夹是某些人共同拥有权限所以即便知道是哪些人中某人删除了文件但你无法知道是具体人
虽然删除文件可以通过Shadow Copy或其他备份手段找回但毕竟麻烦如果能让系统记录这事件就比较好了有系统记录就推脱不了了按以下几步操作即可实现对共享目录中文件删除事件记录
、打开“审核对象访问”
运行gpmc.msc打开组策略管理右键单击域控制器新建个“GPO并链接”命名为“文件访问记录”(名字可随便自己取)
在右侧“安全筛选”中添加要记录组、用户
右击刚添加“文件访问记录”选择“编辑”打开“组策略编辑器”依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”双击右侧“审核对象访问”勾选“定义这些策略设置”及“成功”项“失败”项不需要打勾
2、添加审核用户
右键单击需要审核共享文件夹选择“属性”然后切换到“安全”标签单击“高级”按钮在新对话框中切换到“审核”标签添加要审核用户、组在“审核项目”中勾选和删除相关项目
到指定共享目录中使用受审核记录用户删除个文件这时在系统安全日志中就会有ID为560事件了
在“描述”中向下滚动可以看到特权是“DELETE”也就是删除了
至此我们目就已经达到了可以记录文件被删除事件虽然通过审核功能还可以审核文件被复制、打开等众多事件但不建议审核所有事件否则事件日志将会增长飞快而只记录“删除”相关记录则会好得多但缺点就是不能得到详细访问记录了
如果内部管制很严话就不建议采用这种共享映射方式来访问、存储文件可以采用FTP方式当然如果预算允许话采购专用NAS存储设备也是个不错选择专门针对网络存储而设计般在权限以及访问日志记录方面非常详细
出处http://windyli.blog.51cto.com/1300305/292287
最新评论