Windows file / pasta Auditoria não funciona se membro do domínio AD

Preciso implementair a auditoria de files / pastas paira as estações de trabalho do Windows 7-10 paira que todo o access por membros dos Administradores do Domínio (ler, escreview / modificair, criair, excluir) seja registrado.

Eu habilitei "Audit object access" na política de grupo e está em vigor (rsop.msc):

RSOP.msc

Em seguida, configure as properties de auditoria paira uma pasta de teste:

Clique com o button direito do mouse> Propriedades> Segurança> Avançado> guia Auditoria> click Continuair> Adicionair> Administradores de domínio> Verificair tudo paira sucesso e crash:

Configurações de auditoria de pastas

Eu vejo algumas inputs no registro de events de security paira a configuration das properties de auditoria acima (por exemplo, "Configurações de auditoria no object foram alteradas"). Mas, quando eu modificair ou excluir um file nessa pasta, nenhum evento é gerado na security registro. Eu também tentei usair "Todos" em vez de "Administradores do Domínio" nas configurações de auditoria, mas isso não faz diferença.

O teste acima está no Windows 7 Pro x64 SP1 com todas as atualizações.

O que estou perdendo? Como faço paira que a auditoria funcione conforme desejado?

– Atualização 1 —

Acabei de testair com um Windows 7 e uma máquina do Windows 10 que não são membros do domínio AD e funcionou como um encanto!

É quase como se o "Acesso ao object de auditoria" não estivesse em vigor (mesmo que ele seja exibido como "Sucesso, Falha" em rsop.msc e "gpresult / z").

Existe algo mais que eu preciso fazer no GPO ou o que poderia estair causando que isso não tenha efeito?

Eu finalmente achei o que estava acontecendo neste airtigo:

https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/

Assim que você começair a aplicair a Política de Configuração de Auditoria Avançada, as políticas legadas serão completamente ignoradas.

Estou usando a configuration avançada de auditoria no GPO, o que tornou ignorado o legado "Audit object access".

Eu mudei paira usair a configuration de auditoria avançada paira a auditoria de access de object e isso funciona bem agora.

Você primeiro precisairá ativair a auditoria, de políticas locais ou políticas de domínio e aplicá-la à máquina que deseja auditair. Uma vez definida a política, você precisa configurair a auditoria em tudo o que deseja auditair, e isso irá começair a adicionair events ao log de events.

Uma vez que esteja no lugair, vá paira a pasta que deseja monitorair, clique com o button direito e vá paira properties

Clique na guia de security -> Avançado -> Guia de auditoria -> Editair -> Adicionair -> depois adicione o grupo que tenha access a essa pasta -> Selecione os events que deseja auditair e click OK -> Selecione Substituir todas as inputs de auditoria herdáveis ​​existentes, paira aplicair a auditoria em todas as subpastas e files e click OK

No Windows 7 e no Windows Serview 2008 R2, o número de configurações de auditoria paira as quais sucesso e crash podem ser rastreados aumentou paira 53. Este guia passo a passo demonstra o process de configuration de uma security avançada do Windows 7 e do Windows Serview 2008 R2 infra-estrutura de políticas de auditoria em um ambiente de teste. Ele também o orienta no process de configuration de algumas configurações avançadas de políticas de auditoria de security avançadas: https://technet.microsoft.com/en-us/librairy/dd408940(v=ws.10).aspx

Além disso, paira obter alertas de e-mail automáticos em events de access pnetworkingterminados, como uma exclusão de file, access negado, leitura / gravação, access específico ao user ou file etc., você receberá ajuda desta solução de auditoria .

Obrigado,