谁动了我的电脑
                                                                                                              ——之文件夹审核
经常听见有人说自己的电脑被谁用过之后,可能看了自己的专属文件夹或隐私。大家当然有的人会说解决这个问题有很很多方法,比如隐藏该文件夹、对该文件夹加密等都可以解决,但是对有的人,你可能不合适这样做,有没有其他方法呢?另外,前不久有位在企业做 IT 主管的朋友,打电话过来问我,说是他们公司因为工作原因管理部门有些人必须在文件服务器上共享一个部门目录,且大家都都该文件夹下的子目录有读、写、删除的权限,但问题也就来了。当有人一不小心将该文件夹下某文件或文件夹误删除后,谁也不承认,造成损失也只好认了,算公司的。有没有什么好的办法呢?
其实解决办法是有的,只是我平时都没有去关注过他, Windows XP 、 windows 2003 以及更新的 windows 7 、 windows 2008 等系统都可以使用审核策略跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和 NTFS 分区下的文件夹可以保证文件和文件夹的安全。在做文件夹的审核之前,我们来看一下系统的相关日志所记录的内容。如下图 1 :
 

这时我们会发现“系统日志” — “安全性”,平时默认状态一般只记录系统账户登陆、注销等相关操做。
接下来我们在 d :盘下创建一个“ test ”文件夹,并开启文件夹审核策略,
具体步骤如下组图:
 

 

 

 

要删除原有的组或用户审核,可以选择用户名,然后单击 “ 删除 ” 按钮即可。如有必要,在 “ 审核项目 ” 对话框中的 “ 应用到 ” 列表中选取希望审核的项目。如果想打开目录树中的文件和子文件夹继承这些审核项目,开户权限继承。

至此我们已经开启了对“ test ”文件夹及其子目录下文件“读取”和“删除”审核策略。并在“ test ”目录下创建一个“ test.txt ”文件并删除。并查看“系统日志” - “安全性”。

我们会发现日志记录的仍然只有系统登陆及注销等相关操作的记录。这是为什么呢?其实是因为前面的操作没有做完,接着把它做完。
打开“控制面板” -- “性能和维护”(酌情可省) — “管理工具” -- “本地安全设置”,也可直接在“开始” — “运行” — “ secpol.msc ”,在打开的窗口中找到“本地策略” — “审核策略” — “审核对象访问”,双击打开后,开启审核“成功”、“失败”。如下图:

 

这时我们再在“test”文件夹下创建“test22.txt”并删除,接下来再去查系统日志:

 

就会多了我们审核的“对象访问”类型的日志。打两个两个查一下详细日志:

 

   

这样我们就可以轻松看到是谁误删了文件。该方法可以适用家庭电脑、企业中多人共用电脑、企业共享目录、文件服务器等。
需要注意的是,只有管理员组成员或在组策略中被授予 “ 管理审核和安全日志 ” 权限的用户才可以审核文件或文件夹。在 Windows 审核文件、文件夹之前,用户必须启用组策略中 “ 审核策略 ” 的 “ 审核对象访问 ” 。否则,设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。好了关于文件夹审核就写到这里。