中小企业用Windows Server作为服务器系统应该还是占绝大多数的,而共享文件夹映射为网络驱动器供员工访问、存储数据也是最普遍的应用之一。
凡事有利有弊,这个对立面是永远存在的,文件共享访问同样也存在这样的问题。虽然可以通过NTFS的权限以及在域里面为用户分组进行权限的管控,但很难做到对每一个独立用户的权限管控,因此在实际应用中就总有这样那样的问题,比如某个文件又被某个不知名的人删除了。到最后大家都推脱责任,因为某个文件夹是某些人共同拥有权限的,所以即便知道是哪些人中的某人删除了文件,但你无法知道是具体的人。
虽然删除的文件可以通过Shadow Copy或其他备份手段找回,但毕竟麻烦,如果能让系统记录这一事件就比较好了,有系统记录就推脱不了了,按以下几步操作即可实现对共享目录中的文件删除事件的记录。
一、打开“审核对象访问”
运行gpmc.msc打开组策略管理,右键单击域控制器,新建一个“GPO并链接”,命名为“文件访问记录”(名字可随便自己取)。
在右侧“安全筛选”中添加要记录的组、用户。
右击刚添加的“文件访问记录”,选择“编辑”打开“组策略编辑器”,依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”,双击右侧的“审核对象访问”,勾选“定义这些策略设置”及“成功”项,“失败”项不需要打勾。
二、添加审核用户
右键单击需要审核的共享文件夹,选择“属性”,然后切换到“安全”标签,单击“高级”按钮,在新对话框中切换到“审核”标签,添加要审核的用户、组,在“审核项目”中勾选和删除相关的项目。
到指定共享目录中,使用受审核记录的用户删除一个文件,这时在系统的安全日志中就会有ID为560的事件了。
在“描述”中向下滚动可以看到特权是“DELETE”,也就是删除了。
至此我们的目的就已经达到了,可以记录文件被删除的事件。虽然通过审核功能还可以审核文件被复制、打开等众多事件,但不建议审核所有事件,否则事件日志将会增长飞快,而只记录“删除”相关的记录则会好得多,但缺点就是不能得到详细的访问记录了。
如果内部管制很严的话,就不建议采用这种共享映射的方式来访问、存储文件,可以采用FTP的方式,当然如果预算允许的话,采购专用的NAS存储设备也是个不错的选择,因为专门针对网络存储而设计,一般在权限以及访问日志的记录方面非常详细。
本文转自windyli 51CTO博客,原文链接:http://blog.51cto.com/windyli/292287
,如需转载请自行联系原作者
