Windows Server 2008 r2マシン上の特定のネットワーク共有フォルダー(およびそのすべての子)で削除アクションの監査を有効にする必要があります。私が見つけた最も近いものはこの記事でした- http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/ しかし、それは2003年に関係しています。
コメントで、EventIDの560と564はWin 2003とは関係がないと書いている人がいます。Win2008での削除はEventID 4656であると示唆されていますが、セキュリティログにこれらのイベントが見つかりません。フォルダを右クリックした後、セキュリティタブオプションを使用してフォルダの監査を有効にしました。引用リンクの別のコメントは、ローカルファイルシステムとサーバーの両方で監査を有効にする必要があること、およびグループポリシーがローカルポリシーを上書きする可能性があることを示唆しています。
ローカルポリシー\ローカルポリシー\監査ポリシー\監査オブジェクトアクセスの監査を有効にしようとしましたが、ポリシーコンソールを閉じるたびに削除されるようです。私はサーバーのローカル管理者ですが、ドメイン管理者ではなく、この時点では少し行き詰まっています。どんなポインタでも大歓迎です。
その共有でActive Directoryのごみ箱を有効にし、監査後にActive Directoryの変更を削除します。 ( Active Directoryのごみ箱のステップバイステップガイド )
監査メカニズムの使用
Windows Server 2008 R2では、Windows Server 2008と同様に、Active Directoryドメインサービス(AD DS)監査メカニズムをDirectory Service Changes監査ポリシーと共に使用して、Active Directoryオブジェクトとその属性に変更が加えられたときに古い値と新しい値をログに記録できます。 。 Active Directory環境に監査を実装して、すべてのオブジェクト削除、オブジェクト削除時間、およびこれらのオブジェクト削除を実行するアカウント名を追跡することをお勧めします。詳細については、AD DS Auditing Step-by-Step Guide( http://go.Microsoft.com/fwlink/?LinkID=125458 ))を参照してください。
から; 付録A:追加のActive Directoryのごみ箱タスク
nb、あなたはそのソリューションのローカル管理者以上である必要があります。
最初に、ADグループポリシーまたはサーバーのローカルGPOで監査オブジェクトアクセスを構成します。設定は、[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [ローカルポリシー]-> [監査ポリシー]にあります。 「オブジェクトアクセスの監査」の成功/失敗の監査を有効にします。
その後、監査する特定のフォルダに監査エントリを構成します。フォルダーを右クリックします->プロパティ->詳細設定。 [監査]タブで[追加]をクリックし、監査するユーザー/グループと監査するアクションを入力します。フルコントロールを監査すると、誰かがファイルを開く/変更/閉じる/削除するたびに、またはユーザーが監査エントリを作成します。削除操作を監査できます。
これらの手順を実行すると、ファイルサーバーのセキュリティログにファイルの削除が表示されます。 https://technet.Microsoft.com/en-us/library/dd772690%28WS.10%29.aspx
これは古い質問であることは知っていますが、同じ質問があり、答えが見つからなかったので、うまくいけば他の人の役に立つでしょう。最終的に、イベントID 4663の削除イベントを見つけました。ここに例を示します。
An attempt was made to access an object.
Subject:
Security ID: xxx\administrator
Account Name: administrator
Account Domain: xxx
Logon ID: 0x64ba61
Object:
Object Server: Security
Object Type: File
Object Name: D:\xxx\New folder
Handle ID: 0xca8
Process Information:
Process ID: 0xc80
Process Name: C:\Windows\Explorer.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000