Меня попросили найти способ отслеживать изменения (изменение, переименование, удаление, перемещение) файлов в определенных папках на общем файловом сервере компании (простой общий каталог Windows). Теперь мне хотелось бы узнать, как найти имя /IP пользователя / компьютера, который внес эти изменения. Есть идеи?
1 ответ
2
Вы захотите включить политику аудита доступа к объектам аудита для этого сервера в групповой политике:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
Для аудита несанкционированного доступа включите Аудит отказов.
Чтобы проверять, кто обращается, включите Аудит успеха.
http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
Вы также можете щелкнуть правой кнопкой мыши любую папку, на вкладке «Безопасность» выбрать «Дополнительно», а затем выбрать вкладку «Аудит».
Затем вы можете добавить группы пользователей для аудита и выбрать, какие действия вы хотите отслеживать.
Вся информация журнала для перемещений, копий, удалений и т.д. Будет храниться в журнале безопасности в средстве просмотра событий сервера.