星期六, 11月 14, 2009

稽核誰人在伺服器上刪除資料

1. 如果要Audit的share folder存在於Domain Controller,編輯Default Domain Controller Policy。
如果要Audit的share folder存在於普通的File Server,建立一個OU並把File Server移到這個ou,新建一個Group Policy。

2. 選取 [Computer Configuration 電腦設定] à [Windows Settings Windows 設定] à
[Security Settings 安全性設定] à [Local Policies 本機原則] à [Audit Policy 稽核]













3. 選取 [Audit object access 稽核物件存取] à選取 [Success 成功]

















4. 按 [Apply 套用] 和關閉所有視窗。

5. 在 Share Folder 的實體位址按滑鼠右鍵選 [Properties內容] à [Security安全性] à
[Advanced進階] à [Auditing 稽核] à [Add 新增],新增使用者”Everyone”。


















6. 選取 [Delete] 和 [Delete Subfolders and Files]






















* 如另一個Share Drive都要Auditing, 需重做Step 5-6.

係Server的Event Viewer選取 [Security],你可知道誰刪除了檔案。