用“审核对象”功能记录文件删除记录

中小企业用Windows Server作为服务器系统应该还是占绝大多数的，而共享文件夹映射为网络驱动器供员工访问、存储数据也是最普遍的应用之一。
凡事有利有弊，这个对立面是永远存在的，文件共享访问同样也存在这样的问题。虽然可以通过NTFS的权限以及在域里面为用户分组进行权限的管控，但很难做到对每一个独立用户的权限管控，因此在实际应用中就总有这样那样的问题，比如某个文件又被某个不知名的人删除了。到最后大家都推脱责任，因为某个文件夹是某些人共同拥有权限的，所以即便知道是哪些人中的某人删除了文件，但你无法知道是具体的人。
虽然删除的文件可以通过Shadow Copy或其他备份手段找回，但毕竟麻烦，如果能让系统记录这一事件就比较好了，有系统记录就推脱不了了，按以下几步操作即可实现对共享目录中的文件删除事件的记录。
一、打开“审核对象访问”
运行gpmc.msc打开组策略管理，右键单击域控制器，新建一个“GPO并链接”，命名为“文件访问记录”（名字可随便自己取）。
在右侧“安全筛选”中添加要记录的组、用户。
右击刚添加的“文件访问记录”，选择“编辑”打开“组策略编辑器”，依次定位到“计算机配置→Windows设置→安全设置→本地策略→审核策略”，双击右侧的“审核对象访问”，勾选“定义这些策略设置”及“成功”项，“失败”项不需要打勾。
二、添加审核用户
右键单击需要审核的共享文件夹，选择“属性”，然后切换到“安全”标签，单击“高级”按钮，在新对话框中切换到“审核”标签，添加要审核的用户、组，在“审核项目”中勾选和删除相关的项目。
到指定共享目录中，使用受审核记录的用户删除一个文件，这时在系统的安全日志中就会有ID为560的事件了。
在“描述”中向下滚动可以看到特权是“DELETE”，也就是删除了。
至此我们的目的就已经达到了，可以记录文件被删除的事件。虽然通过审核功能还可以审核文件被复制、打开等众多事件，但不建议审核所有事件，否则事件日志将会增长飞快，而只记录“删除”相关的记录则会好得多，但缺点就是不能得到详细的访问记录了。
如果内部管制很严的话，就不建议采用这种共享映射的方式来访问、存储文件，可以采用FTP的方式，当然如果预算允许的话，采购专用的NAS存储设备也是个不错的选择，因为专门针对网络存储而设计，一般在权限以及访问日志的记录方面非常详细。