在win2003里面记录用户在文件服务器的操作记录[审核]
查看win2003中文件删除记录
所能达到的目的:
在系统日件查看器的安全性中记录所有删除过文件的用户的记录。
NTFS卷中审核了文件删除记录。
1 开启登陆审核
用administrators组的用户身份登陆到桌面,点击开始菜单中的运行命令,输入gpedit.msc,打开组策略编辑器,在计算机配置-安全设 置-本地策略-审核策略中的审核帐户登陆事件,双击出现的对话框中钩选成功和失败,即打开了审核用户登陆成功和失败的事件。
2记录NTFS分区中删除文件的记录
同1打开组策略中的算机配置-安全设置-本地策略-审核策略的审核对对像防问, 双击出现的对话框中钩选成功和失败,经过上面的设置,现在就可以设置文件和文件夹的审核了。(注须在NTFS的分区上,xp系统中去掉简单文件共享,否则NTFS分区中安全标签是隐藏了的)
比如说现在我们须对d:/客户资料的文件夹做审核。选取文件夹,打开属性,选择安性标签,再点高级,然后选审核,默认是没有审核项目的,点击添加,添加我们 所要监视审核对像的用户及组,确定后打开的对话框中钩选取“删除”成功。然后再选取“将这些审核项目只应用到这个容器中的对像和/容器上”复选框。确定即 可。查看记录时打开事件查看器安全性即可看到事件。
在win2003里面如何记录用户在文件服务器的操作记录
在文件服务器上面,针对多个用户对某一个文件夹进行读写,难免会有操作错误或误删的情况.为了保留操作的真实性.如果设定记录用户的操作情况,特别是文件及文件夹的删除日志
解决方法:
如果要满足你的需求,需要进行两个操作。
一个是在安全策略里面启用“审核对象访问”,开启这个功能
二是光开启这个功能还不行,你还得设定为哪个用户对哪个文件开启哪些审核。
方法是右键选择你需要查看操作日志的文件的属性,选择“安全”--> “高级”-->"审核"-->然后添加一个需要审核的用户,例如everyone --> 再选择具体的审核项目,例如是审核用户是否运行过这个文件,是否重命名这个文件等等,如果希望审核所有操作,就选择完全控制。
最后,再到安全性日志中就可以查看到具体的操作记录。
查看文件服务器修改写删除文件的记录设置方法------通过设置文件夹审核策略
windows可以使用审核策略跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
第一步,在组策略窗中(文件服务器在DC上此时打开域控制器策略),逐级展开左侧窗口中的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”分支,在该分支下选择“审核策略”选项。
第二步,在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上“√”标记,然后单击“确定”按钮。
第三步,用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
第四步,单击“高级”按钮,选择“审核”标签。
第五步,根据具体情况选择操作:
如果要对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
第六步,如有必要,在“审核项目”对话框中的“应用到”列表中选取希望审核的项目。
第七步,如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。需要注意的是,只有管理员组成员或在组策略中被授予“管理审核和安全日志”权限的用户才可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,用户必须启用组策略中“审核策略”的“审核对象访问”。否则,设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
注意:根据此方法可以来管理"文件服务器"中共享文件读取和删除/更改.