爲了對一些比較重要的服務器(比如財務主機)的一切進行跟蹤監視,並能依照監視結果來快速排查服務器系統故障以及保障服務器系統的運行安全。Windows server 2008 系統加入了審覈功能,以便各位朋友利用該功能更好的服務自己;
下面我們舉一個簡單的例子,情景是這樣的,最近一段時間公司的財務主機給人惡意破壞,公司爲了知道是誰的惡作劇,所以,公司的IT主管就在財務主機上存放財務文件的文件夾上啓用了文件審覈功能;
對文件服務器上面的文件實現審覈,要求可以查看到任何用戶的訪問記錄。
1. 首先打開DC,打開組策略管理,在文件服務器所在的OU下創建一條策略。名稱叫文件審覈。
![clip_image002[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_13538484410RIK.jpg "clip_image002[6]")
2. 然後右擊策略點擊編輯。就打開組策略管理編輯器。
![clip_image004[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848448wjZg.jpg "clip_image004[6]")
3. 然後點擊《計算機配置》----《策略》----《windows設置》----《安全設置》----《本地策略》----《審覈策略》,然後我們可以看到我們可以編輯的審覈策略。
![clip_image006[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_13538489439zzr.jpg "clip_image006[6]")
4. 我們這裏主要是審覈對象訪問。所以我們這裏主要設置《審覈對象訪問》。我們定義審覈對象的成功和失敗。
![clip_image008[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848945ajIA.jpg "clip_image008[6]")
5. 轉到財務主機。在財務主機的文件上啓用審覈。我們這裏everyone對文件上的任何操作都進行審覈。
首先右擊點擊屬性打開finance屬性。
![clip_image010[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848980qhRm.jpg "clip_image010[6]")
6. 之後就點擊《安全》----《高級》----《審覈》----《編輯》----《添加》,然後輸入everyone。
之後點擊成功和失敗的完全控制。
![clip_image012[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849505fwTY.jpg "clip_image012[6]")
7. 之後註銷。使用一個域用戶登陸。這裏以zhangsan爲例。zhangsan登陸之後。在finance文件夾下創建了一個文件。名稱叫finance02。
![clip_image014[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849506omeo.jpg "clip_image014[6]")
8. 之後註銷。用域管理員登陸打開事件查看器。
![clip_image016[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849508w0EV.jpg "clip_image016[6]")
9. 展開windows日誌,右擊《安全》,點擊查找。在查找內容對話框,輸入zhangsan。
![clip_image018[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849509nplX.jpg "clip_image018[6]")
10. 之後點擊《查找下一個》。雙擊查找的事件。打開我們可以看到詳細的審覈信息。
![clip_image020[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849511SbMG.jpg "clip_image020[6]")