一. 首先,组策略里设置审核策略,
如果是win2003一般服务器(非域控服务器),则在运行里输入:gpedit.msc 回车
如果是域控服务器,则在菜单 开始\管理工具\域控制器安全策略 打开
如图:
 

其他的审核项,可根据实际需求要不要做记录到日记事件里,如果全部做审核,则日记文件很大,所以只设置“审核对象访问”“审核账号登录事件”和其他2项,其他的项到底有什么用,也可以点进去看他的解释来了解。
 
二. 在共享文件夹里,设置:属性\共享和安全\安全\高级\审核\添加。。。
如图:

  

 
三. 查看日志:
事件查看器\安全性 可以查看到某某人删除的文件夹记录,为了查看方便,可用筛选方式来查看
 

 

为了很好的管理日记文件,有必要设置一下常规: 

下面例举一个例子来查看谁删除了 \\server\share\01\订单统计表.xls文件
首先此share共享文件夹都由网管设置了审核策略(如前面图片里的删除勾项),然后某天业务部门主管告知01文件夹下的“订单统计表.xls”被人删除了,希望网管能揪出是哪台电脑删除的,好作处罚。
查找方法:事件查看器\安全性
 

 

查出记录后,有必要一条一条的去分析,一般发现特权:DELETE的就是删除的动作,
如下图的示范记录:

 
 
 
 
 
 
 
 
 
 
=====================    完毕 ==================