1. Зайти в Панель Управління \ Адміністрування \ Локальні політики безпеки
2. Включити аудит доступу до об'єктів
3. Включити детальний аудит доступу до цікавлять нас речам
4. Тепер в Журналі подій в розділі Безпека можна побачити записи з ID 5145. Якщо відкрити окремо взяту запис журналу, то там буде многоінформаціі про те - хто, коли, з якого комп'ютера виробляв дії над файлів.
Ось приклади записів при різних діях над файлом.
Створення, редагування файлу:
Читання файлу:
Видалення файлу:
Якщо ви хочете використовувати ці кошти аудиту, то бажано збільшити максимально можливий обсяг файлу журналу, тому що стандартних 20 Мб може не вистачити на потрібну глибину давності, особливо це стосується великих файлових серверів.
Величезний недолік цього способу полягає в тому, що знайти потрібну запис в журналі серед тисяч інших записів вельми не просто навіть користуючись пошуком.
Однак, є програми сторонніх розробників, які реалізують в собі хороший аудит доступу до файлів і надають людський інтерфейс пошуку і складання звітів по заданих критеріях. Дивіться Аудит доступу до файлів на Windows сервері - Частина 2.