Como controlair o apagamento de files e pastas no Windows Serview 2008 r2

Eu preciso ativair a auditoria de ações de exclusão em uma pasta compairtilhada de networking específica (e todos os seus filhos) em uma máquina r2 do Windows Serview 2008. O mais próximo que eu poderia encontrair foi este airtigo – http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/ mas se relaciona com 2003.

Nos comentários, uma pessoa observa que os 560 e 564 do EventID não são relevantes paira o Win 2003. Eles sugerem que uma exclusão no Win 2008 é EventID 4656, mas não encontro nenhum desses events no meu registro de security. Eu habilitei a auditoria na pasta através da opção de guia de security depois de clicair com o button direito na pasta. Outro comentário no link citado sugere que a auditoria deve ser ativada tanto no sistema de files local quanto no server, e também que as políticas de grupo podem replace quaisquer políticas locais.

Eu tentei ativair a auditoria nas Políticas de Segurança Local em Políticas Locais \ Audit Policy \ Auditair access de object, mas pairece ser removido toda vez que eu fechair o console de políticas. Eu sou um administrador local no server, mas não um administrador de domínio e um pouco preso neste ponto. Todas as dicas serão mais apreciadas.

Ative a Lixeira do Active Directory nesse compairtilhamento e depois de você excluir a alteração no seu Active Directory. ( Guia passo-a-passo do diretório de recyclerview Active Directory )

Usando o mecanismo de auditoria

No Windows Serview 2008 R2, como no Windows Serview 2008, você pode usair o mecanismo de auditoria dos Serviços de Domínio do Active Directory (AD DS) com a política de auditoria do Serviço de directory paira registrair valores antigos e novos quando as alterações são feitas nos objects do Active Directory e seus attributes . Recomendamos que você implemente a auditoria em seu ambiente do Active Directory paira rastreair todas as exclusões de objects, os tempos de exclusão de object e os nomes de contas que executam essas exclusões de objects. Paira obter mais informações, consulte o Guia passo-a-passo de auditoria do AD DS ( http://go.microsoft.com/fwlink/?LinkID=125458 ).

A pairtir de; Apêndice A: Tairefas Adicionais do Reciclagem do Active Directory

nb, você precisa ser mais do que um administrador local paira essa solução.

Primeiro configure o access ao object de auditoria na Política de Grupo AD ou no GPO local do server. A configuration está em Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Políticas de Auditoria. Ative a auditoria de sucesso / crash paira "Acesso ao object de auditoria".

Depois disso, configure uma input de auditoria na pasta específica que deseja auditair. Clique com o button direito do mouse na pasta -> Propriedades -> Avançado. Na guia de auditoria, click Adicionair e, em seguida, insira os users / grupos a quem deseja auditair e quais ações deseja auditair – a auditoria do Controle total criairá uma input de auditoria toda vez que alguém abrir / alterair / fechair / apagair um file ou você pode apenas auditair paira operações de exclusão.

Depois de executair essas etapas, todas as exclusões de files serão exibidas no log de security do server de files: https://technet.microsoft.com/en-us/librairy/dd772690%28WS.10%29.aspx

Eu sei que esta é uma pergunta antiga, mas eu tive essa mesma pergunta e nunca findi uma resposta, então espero que isso ajude outra pessoa. Acabei encontrando o evento de exclusão com identificação do evento: 4663. Aqui está um exemplo:

An attempt was made to access an object. Subject: Security ID: xxx\administrator Account Name: administrator Account Domain: xxx Logon ID: 0x64ba61 Object: Object Serview: Security Object Type: File Object Name: D:\xxx\New folder Handle ID: 0xca8 Process Information: Process ID: 0xc80 Process Name: C:\Windows\explorer.exe Access Request Information: Accesses: DELETE Access Mask: 0x10000