Windows Server 審核功能

我很好奇是否可以在 Windows Server 2012 上審核文件共享以獲取副本。如何根據它們發送到事件日誌的事件來區分複制的文件而不是讀取的文件？複製的文件在讀寫方面是否有某種模式？

謝謝您的幫助！

在份額層面，沒有。這是由於共享沒有系統 acl 的。但是您可以在文件系統級別啟用對共享文件夾的寫入訪問權限的審核。有關高級審核策略配置 > 對象訪問，請參閱以下幫助文本：

---

文件系統

此策略設置允許您審核使用者訪問文件系統對象的嘗試。只有指定了系統訪問控制列表 (SACL) 的對象，並且僅當請求的訪問類型（例如寫入、讀取或修改）以及發出請求的帳戶與 SACL 中的設置匹配時，才會生成安全審計事件。有關啟用對象訪問審核的詳細資訊，請參閱http://go.microsoft.com/fwlink/?LinkId=122083。

如果配置此策略設置，則每次帳戶訪問具有匹配 SACL 的文件系統對象時都會生成審核事件。成功審計記錄成功的嘗試，失敗審計記錄不成功的嘗試。如果您不配置此策略設置，則在帳戶訪問具有匹配 SACL 的文件系統對象時不會生成審核事件。

注意：您可以使用該對象的“屬性”對話框中的“安全”選項卡在文件系統對像上設置 SACL。

卷：取決於文件​​系統 SACL 的配置方式。

引用自：https://serverfault.com/questions/583992