none
win server 2012 r2 域 文件共享访问记录设置问题 RRS feed

  • 问题

  • win ser2012  域 中做的文件共享,请问在哪里设置后,可以在日志中搜索到,最好一个pc机访问文件的记录。有大神知道吗?
    2019年10月18日 7:21

全部回复

  • 您好,

    您可以通过应用或修改本地文件或文件夹的审核策略设置来实现。具体的设置方法如下:

    1. 打开 Windows 资源管理器。

    2. 右键单击要审核的文件或文件夹,单击“属性”,然后单击“安全”选项卡。

    3. 单击“高级”,然后单击“审核”选项卡。

    4. 要设置新用户或组的审核,请单击“添加”。在“输入要选择的对象名称”中,键入想要的用户或组的名称,然后单击“确定”。

    5. 在“应用于”框中单击希望进行审核的位置。

    6. 在“访问”框中,通过选中适当的复选框,指出您想要审核的操作:

    7. 如果要防止原始对象的后续文件和子文件夹继承这些审核项,请选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。

    注意:设置文件和文件夹的审核前,必须通过为对象访问事件类别定义审核策略设置,来启用对象访问审核。如果不启用对象访问审核,在设置文件和文件夹的审核时,将收到错误消息且不会审核任何文件或文件夹。

    更多相关信息,请查看:

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/audit-detailed-file-share

    Best regards,

    Yilia 


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年10月21日 2:45
    版主
  • Hi,我在事件查看器里看了日志,我想知道一些关于事件ID所代表的信息。举个例子:如果一个文件被删除,也做了各种审核(成功),那么在事件里,我通过哪一项(友好视图或者XML中的某一个字段)可以知道这个文件是被删除的或者创建的或者是读取、移动的。多谢!
    2019年10月23日 7:47
  • 您好,

    请查看文件访问代码表:

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-5145

    Best regards,

    Yilia 


    Please remember to mark the replies as answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年10月23日 7:53
    版主