Задать вопрос

Не работает аудит создания папок в Windows 7. Как быть?

Хочу настроить аудит файловых операций в Windows 7, столкнулся с тем, что не работает (не приходят события в оснастку "Просмотр событий") аудит создания папок. По удалению файла/папки событие приходит, по созданию файла тоже приходит, по созданию папки - нет. Проверил на 2 машинах с Windows 7 и на одной с 2008 R2 - поведение идентичное.
В политиках аудит файловой системы включён (Политика "Локальный компьютер" (Local Computer Policy) -> Конфигурация Windows (Windows Settings) -> Параметры безопасности (Security Settings)-> Конфигурация расширенной политики аудита (Advanced audit policy configuration) -> Политика аудита системы - Объект локальной групповой политики (System audit policies - Local group policy object) -> Доступ к объектам (Object Access)-> Аудит файловой системы: успех, отказ (Audit file system: Success, Failure)).
Аудит тестовой папки включён, для групп "Все" ("Everyone") выбраны события "Создание файлов/запись данных", "Создание папок/дозапись данных", "Удаление подпапок и файлов", "Удаление". В некоторых руководствах советуют ещё включить событие "Чтение атрибутов", пробовал включать - ничего не меняется (кроме того, что в "Просмотре событий" появляются события "Чтение атрибутов").
Кто-нибудь сталкивался с таким поведением?

Upd: Нашёл Windows 2003 x86, и там то же самое.
  • Вопрос задан
  • 401 просмотр
Подписаться 3 Простой 2 комментария
Пригласить эксперта
Ответы на вопрос 1
@azzii
Подтверждаю, аудит создания папок не работает. Нашел две ссылки на technet по теме, но они ответа на вопрос не дают, предлагают также включить аудит атрибутов.
Тема 1
Тема 2

При включении аудита атрибутов и аудита создания папок после создания папки создаётся три события с кодом 4663, в одном из которых имя объекта это имя созданной папки, но понять, что это событие именно создания папки можно только косвенно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы