设置文件和文件夹审计控制

您需要为要审核用户访问尝试的文件和文件夹设置审核控制措施。审计控制也称为NTFS系统访问控制列表 (SACLs)。

您可以使用 Windows 原生GUI界面或使用 Windows 命令以编程方式配置审计控制。 PowerShell 如果启用继承，则通常只需要对要记录访问日志的顶级文件夹设置审核控制措施。

要使用来设置文件和文件夹GUI的审核控制，请使用 Windows 文件资源管理器。在给定文件或文件夹上，打开 Windows 文件资源管理器，然后选择属性 > 安全 > 高级 > 审核选项卡。

以下审核控制措施示例审核文件夹的成功事件。每当管理员用户成功打开该句柄进行读取时，就会发出一个 Windows 事件日志条目。

Windows 文件资源管理器审计选项卡用于为文件和文件夹设置审计控制措施，以进行 Windows 文件访问审计。

类型字段指示您要审核的操作。将此字段设置为成功可审核成功的尝试，将此字段设置为失败可审核失败的尝试，将此字段设置为全部可审核成功的尝试和失败的尝试。

有关审核输入字段的更多信息，请参阅 Microsoft 文档中的对文件或文件夹应用基本审核策略。

你可以使用 Microsoft Windows Set-Acl 命令SACL对任何文件或文件夹设置审计。有关此命令的更多信息，请参阅 Microsoft Set-Acl 文档。

以下是使用一系列 PowerShell 命令和变量为成功尝试设置审核访问权限的示例。您可以调整这些示例命令，满足文件系统的需求。


$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

记录最终用户访问权限

管理文件访问审计