windows共享文件删除记录审核
2016-07-07 16:42
351 查看
公司内部设置了共享服务器。某一部分员工根据分工具有文件的修改、删除功能。可是随意删除文件的行为是不允许的,所以要有记录,操作删除的行为要有记录,以防止有人恶意删除共享文件时没有足够的证据。用到windows的审核策略即可。
Gpedit.msc打开组策略(或者secpol.msc本地安全策略)
选择“审核策略”的“审核对象访问”,双击打开,勾选“成功”
启用了审核策略之后就可以进行文件或文件夹审核的设置了
在文件夹中设置删除审核
切换到审核选项卡,然后选择相应的组(我这里是实验所以选择自己的管理员组,实际中设置具体的能够访问共享的组用户)
然后构选“删除”和“删除子文件夹及文件”
设置成功后,在文件夹内删除文件之后,在“计算机管理”中打开“事件查看器”选择“安全性”查找事件ID为560的日志,可以看到如下的记录
看到日志中记录的操作(特权)为:DELETE,用户名为Administrator(在域或者有C/S构架的网络中就会显示客户端的机器名及用户名,我这里是本地计算机,所以只有本地设置的相应组Administrator的记录),这样就可以记录删除文件的操作了。
Gpedit.msc打开组策略(或者secpol.msc本地安全策略)
选择“审核策略”的“审核对象访问”,双击打开,勾选“成功”
启用了审核策略之后就可以进行文件或文件夹审核的设置了
在文件夹中设置删除审核
切换到审核选项卡,然后选择相应的组(我这里是实验所以选择自己的管理员组,实际中设置具体的能够访问共享的组用户)
然后构选“删除”和“删除子文件夹及文件”
设置成功后,在文件夹内删除文件之后,在“计算机管理”中打开“事件查看器”选择“安全性”查找事件ID为560的日志,可以看到如下的记录
看到日志中记录的操作(特权)为:DELETE,用户名为Administrator(在域或者有C/S构架的网络中就会显示客户端的机器名及用户名,我这里是本地计算机,所以只有本地设置的相应组Administrator的记录),这样就可以记录删除文件的操作了。
相关文章推荐
- 结构体和类的区别
- HDU4403 dfs
- EditText焦点的问题。
- 播布客
- Swift之控件-UIlabel
- 【ArcGis for javascript从零开始】之一 ArcGis加载天地图
- centos编译helloworld的几个小问题
- PopupWindow的使用
- 宏定义 #,##
- 9、利用Hessian和Spring整合开发WebService服务
- flume+kafka+storm+redis+mongodb 配置
- IRTF,网络机器学习
- Apache ActiveMQ 持久化到MySQL数据库
- POJ1001(C++处理大数)
- 最后还是json格式的问题
- echarts3 柱状图实现
- sync命令的作用
- 关于ES、PES、PS以及TS码流
- 【Xcode】创建自定义文件模板
- 《leetCode》: Implement Trie (Prefix Tree)