Аудит удаления файлов или папок на файловом сервере Windows 2003 server

Иногда пользователи, работающие с файловым сервером задают вопросы по поводу «пропавших» файлов или папок с сервера. Для того, чтобы были ответы на такие вопросы, в windows 2003 server нужно подключить встроенный механизм аудита, который позволяет отслеживать изменения с папками и файлами. Для его включения необходимо:

1) В групповой политике включите «Аудит доступа к объектам». Запускайте gpedit.msc. Далее по пути «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Политика аудита» в параметре «Аудит доступа к объектам» поставьте галочку у «аудит успеха».

2) В свойствах сетевой шары в параметрах безопасности назначьте аудит на нужные действия. Заходите в свойства папки, выбирайте вкладку безопасность. В этой вкладке нужно нажать на кнопку дополнительно. Дальше выбрать вкладку аудит. В ней нужно добавить пользователей за которыми требуется производить мониторинг. Я обычно указываю «Все». В этой же вкладке указываются действия, за которыми необходимо мониторить, для удаления достаточно в колонке успех выставить 2 галки «Удаление файлов», «Удаление папок».

Для просмотра журнала достаточно зайти в журнал безопасности в просмотре событий и включить фильтр на события с кодом 560 и 562.

Понравилась статья? Поделиться с друзьями: