为了对一些比较重要的服务器(比如财务主机)的一切进行跟踪监视,并能依照监视结果来快速排查服务器系统故障以及保障服务器系统的运行安全。Windows server 2008 系统加入了审核功能,以便各位朋友利用该功能更好的服务自己;
下面我们举一个简单的例子,情景是这样的,最近一段时间公司的财务主机给人恶意破坏,公司为了知道是谁的恶作剧,所以,公司的IT主管就在财务主机上存放财务文件的文件夹上启用了文件审核功能;
对文件服务器上面的文件实现审核,要求可以查看到任何用户的访问记录。
1. 首先打开DC,打开组策略管理,在文件服务器所在的OU下创建一条策略。名称叫文件审核。
![clip_image002[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_13538484410RIK.jpg "clip_image002[6]")
2. 然后右击策略点击编辑。就打开组策略管理编辑器。
![clip_image004[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848448wjZg.jpg "clip_image004[6]")
3. 然后点击《计算机配置》----《策略》----《windows设置》----《安全设置》----《本地策略》----《审核策略》,然后我们可以看到我们可以编辑的审核策略。
![clip_image006[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_13538489439zzr.jpg "clip_image006[6]")
4. 我们这里主要是审核对象访问。所以我们这里主要设置《审核对象访问》。我们定义审核对象的成功和失败。
![clip_image008[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848945ajIA.jpg "clip_image008[6]")
5. 转到财务主机。在财务主机的文件上启用审核。我们这里everyone对文件上的任何操作都进行审核。
首先右击点击属性打开finance属性。
![clip_image010[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353848980qhRm.jpg "clip_image010[6]")
6. 之后就点击《安全》----《高级》----《审核》----《编辑》----《添加》,然后输入everyone。
之后点击成功和失败的完全控制。
![clip_image012[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849505fwTY.jpg "clip_image012[6]")
7. 之后注销。使用一个域用户登陆。这里以zhangsan为例。zhangsan登陆之后。在finance文件夹下创建了一个文件。名称叫finance02。
![clip_image014[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849506omeo.jpg "clip_image014[6]")
8. 之后注销。用域管理员登陆打开事件查看器。
![clip_image016[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849508w0EV.jpg "clip_image016[6]")
9. 展开windows日志,右击《安全》,点击查找。在查找内容对话框,输入zhangsan。
![clip_image018[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849509nplX.jpg "clip_image018[6]")
10. 之后点击《查找下一个》。双击查找的事件。打开我们可以看到详细的审核信息。
![clip_image020[6]](http://5608626.blog.51cto.com/attachment/201211/25/5598626_1353849511SbMG.jpg "clip_image020[6]")