Windows Server 2003 和 2008 上的文件和文件夹审核

---

通过 Windows Server 2008 R2 和 Windows 7 中的全局对象访问审核，审核文件和文件夹变得更加容易。但是，如果您的组织仍在运行 Windows Server 2008 或更早版本（例如 Windows Server 2003），则设置文件和文件夹审核将变得更加困难。稍微复杂一点。在这篇文章中，我将引导您完成配置早期版本的 Windows Server 以进行文件和文件夹审核所需的步骤。

Windows Server 中并未立即启用文件和文件夹审核，因此第一步是使用本地或组策略将其打开。如果您有 Active Directory (AD)，则可以使用组策略对象 (GPO) 来启用对象访问审核。如果您想在单个设备上启用审核，则可以在本地策略中启用相同的设置。

在 Windows Server 2003 和 2008 上启用域中所有设备的审核

在此示例中，我将审核配置添加到默认域策略中，这将启用域中所有设备的审核，包括存储文件和文件夹的文件服务器。在生产环境中，您应该创建一个新的 GPO，并将其应用到组织单位 (OU)。

开始之前，请确保至少一台服务器上安装了组管理策略控制台 (GPMC)。在此处下载适用于 Windows Server 2003 的 GPMC。Windows Server 2008 包含 GPMC，但默认情况下不安装。通过打开命令提示符并运行以下服务器管理器命令来安装它：

ServerManagerCmd -安装 gpmc

安装 GPMC 后，请按照以下说明操作：

• 以域管理员身份登录服务器，打开组策略管理控制台（GPMC）。在“运行”对话框中键入 msc，然后单击确定。
• 在组策略管理中，展开您的 AD 林、域和您的域。
• 右键单击默认域策略GPO，然后从菜单中选择编辑。
• 在“组策略管理编辑器”窗口的“计算机配置”下的左窗格中，展开“策略”>“Windows 设置”> 安全设置 > > 本地策略 > 审核策略，然后单击审核对象访问。
• 在审核对象访问属性对话框中，根据需要勾选成功和失败，然后单击确定。
• 关闭组策略管理控制台。

下次在 GPO 范围内的设备上刷新组策略时，将应用您在上述策略中配置的审核设置。

设置文件和文件夹的审核

启用审核对象访问设置不足以让审核工作。您还需要配置要审核的每个对象的系统访问控制列表 (SACL)。在此示例中，我们将启用文件夹审核。

• 右键单击要启用审核的文件夹，然后从上下文菜单中选择属性。
• 切换到“属性”中的“安全”选项卡
• 点击“安全”上的“高级”
• 切换到审核
• 在“审核”选项卡上，在“输入要选择的对象名称”框中键入要审核其对文件夹的访问权限的用户或组的名称，然后单击好的。
• 根据需要在安全对话框中检查您要审核的操作的成功和失败，完成后单击确定 。
• 关闭所有打开的对话框。

审核事件现在将开始出现在事件查看器的安全日志中，包括：

Event ID (2003 and earlier) Event ID (2008 and later) Description 560 4656 A handle to an object was requested 562 4658 The handle to an object was closed 564 4660 An object was deleted 567 4663 An attempt was made to access an object n/a 4685 The state of a transaction has changed n/a 4985 The state of a transaction has changed

在 Windows Server 2008 中，事件 ID 4663 可以指示不同类型的事件，包括获取文件的所有权、通用文件读取以及修改文件的 ACL。