用win2003监控共享文件的删除

用win2003监控共享文件的删除

一.首先，组策略里设置审核策略，

如果是win2003一般服务器(非域控服务器)，则在运行里输入:gpedit.msc 回车

如果是域控服务器，则在菜单开始\管理工具\域控制器安全策略打开

如图：

其他的审核项，可根据实际需求要不要做记录到日记事件里，如果全部做审核，则日记文件很大，所以只设置“审核对象访问”“审核账号登录事件”和其他2项，其他的项到底有什么用，也可以点进去看他的解释来了解。

二. 在共享文件夹里，设置：属性\共享和安全\安全\高级\审核\添加。。。

如图：

三. 查看日志：

事件查看器\安全性可以查看到某某人删除的文件夹记录，为了查看方便，可用筛选方式来查看

为了很好的管理日记文件，有必要设置一下常规：

下面例举一个例子来查看谁删除了\\server\share\01\订单统计表.xls文件

首先此share共享文件夹都由网管设置了审核策略(如前面图片里的删除勾项)，然后某天业务部门主管告知01文件夹下的“订单统计表.xls”被人删除了，希望网管能揪出是哪台电脑删除的，好作处罚。

查找方法：事件查看器\安全性

查出记录后，有必要一条一条的去分析，一般发现特权：DELETE的就是删除的动作，如下图的示范记录：