所能达到的目的:
在系统日件查看器的安全性中记录所有删除过文件的用户的记录。
NTFS卷中审核了文件删除记录。
1 开启登陆审核
用administrators组的用户身份登陆到桌面,点击开始菜单中的运行命令,输入gpedit.msc,打开组策略编辑器,在计算机配置-安全设 置-本地策略-审核策略中的审核帐户登陆事件,双击出现的对话框中钩选成功和失败,即打开了审核用户登陆成功和失败的事件。
2记录NTFS分区中删除文件的记录
同1打开组策略中的计算机配置-Windows设置-安全设置-本地策略-审核策略的审核对对像防问, 双击出现的对话框中钩选成功和失败,经过上面的设置,现在就可以设置文件和文件夹的审核了。(注须在NTFS的分区上,xp系统中去掉简单文件共享,否则NTFS分区中安全标签是隐藏了的)
比 如说现在我们须对d:/客户资料的文件夹做审核。选取文件夹,打开属性,选择安性标签,再点高级,然后选审核,默认是没有审核项目的,点击添加,添加我们 所要监视审核对像的用户及组,确定后打开的对话框中钩选取“删除”成功。然后再选取“将这些审核项目只应用到这个容器中的对像和/容器上”复选框。确定即可。查看记录时打开事件查看器->安全性,即可看到事件。