在文件服务器上面,针对多个用户对某一个文件夹进行读写,难免会有操作错误或误删的情况.为了保留操作的真实性.如果设定记录用户的操作情况,特别是文件及文件夹的删除日志
查看win2003中文件删除记录
所能达到的目的:
在系统日件查看器的安全性中记录所有删除过文件的用户的记录。
NTFS卷中审核了文件删除记录。
1开启登陆审核
用administrators组的用户身份登陆到桌面,点击开始菜单中的运行命令,输入gpedit.msc,打开组策略编辑器,在计算机配置-安全设置-本地策略-审核策略中的审核帐户登陆事件,双击出现的对话框中钩选成功和失败,即打开了审核用户登陆成功和失败的事件。
2记录NTFS分区中删除文件的记录
同1打开组策略中的算机配置-安全设置-本地策略-审核策略的审核对对像防问,双击出现的对话框中钩选成功和失败,经过上面的设置,现在就可以设置文件和文件夹的审核了。(注须在NTFS的分区上,xp系统中去掉简单文件共享,否则NTFS分区中安全标签是隐藏了的)
比如说现在我们须对d:\客户资料的文件夹做审核。选取文件夹,打开属性,选择安性标签,再点高级,然后选审核,默认是没有审核项目的,点击添加,添加我们所要监视审核对像的用户及组,确定后打开的对话框中钩选取删除成功。然后再选取将这些审核项目只应用到这个容器中的对像和/容器上复选框。确定即可。查看记录时打开事件查看器安全性即可看到事件。
在win2003里面如何记录用户在文件服务器的操作记录
在文件服务器上面,针对多个用户对某一个文件夹进行读写,难免会有操作错误或误删的情况.为了保留操作的真实性.如果设定记录用户的操作情况,特别是文件及文件夹的删除日志
解决方法:
如果要满足你的需求,需要进行两个操作。
一个是在安全策略里面启用审核对象访问,开启这个功能
二是光开启这个功能还不行,你还得设定为哪个用户对哪个文件开启哪些审核。
方法是右键选择你需要查看操作日志的文件的属性,选择安全-->高级-->"审核"-->然后添加一个需要审核的用户,例如everyone-->再选择具体的审核项目,例如是审核用户是否运行过这个文件,是否重命名这个文件等等,如果希望审核所有操作,就选择完全控制。
最后,再到安全性日志中就可以查看到具体的操作记录。
查看文件服务器修改写删除文件的记录设置方法------通过设置文件夹审核策略
windows可以使用审核策略跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
第一步,在组策略窗中(文件服务器在DC上此时打开域控制器策略),逐级展开左侧窗口中的计算机配置→Windows设置→安全设置→本地策略分支,在该分支下选择审核策略选项。
第二步,在右侧窗口中用鼠标双击审核对象访问选项,在弹出的本地安全策略设置窗口中将本地策略设置框内的成功和失败复选框都打上√标记,然后单击确定按钮。
第三步,用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的属性命令,接着在弹出的窗口中选择安全标签。
第四步,单击高级按钮,选择审核标签。
第五步,根据具体情况选择操作:
如果要对一个新组或用户设置审核,可以单击添加按钮,并且在名称框中键入新用户名,然后单击确定按钮打开审核项目对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击查看/编辑按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击删除按钮即可。
第六步,如有必要,在审核项目对话框中的应用到列表中选取希望审核的项目。
第七步,如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择仅对此容器内的对象和/或容器应用这些审核项复选框。需要注意的是,只有管理员组成员或在组策略中被授予管理审核和安全日志权限的用户才可以审核文件或文件夹。在WindowsXP审核文件、文件夹之前,用户必须启用组策略中审核策略的审核对象访问。否则,设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
注意:根据此方法可以来管理"文件服务器"中共享文件读取和删除\更改.