windows2008或者windows2008r2,系统做域内的文件服务器,能否做到谁删除某个共享出来的文件夹或者文件的操作审计?审计级别能做到怎么样一个程度?

回答:依据您的问题您想知道Windows2008文件服务器的审计相关。依据我的经验,这个要分成两种情况:

1.在远端访问,就是通过网络路径访问;
2.在本地上本地访问共享文件,就是在创建的机器上访问;

远端访问
访问共享文件或者共享文件夹
在就是当您在组策略中开启审计功能后,共享一个文件或文件夹后比如\\contoso.com\shared(shared可以是文件或者文件夹),您可以在security log中看到有关这个shared本身的操作比如何时创建的,谁操作的,在哪里操作的,进行了怎样的操作都是可以看到的。同时其他用户对其进行访问的时间和地点也是可以看到的。
访问共享子文件或者子文件夹
如果在这个共享文件夹下又创建了文件或者文件夹比如\\contoso.com\shared\aaa(aaa可以是文件或者文件夹)的话,当无论任何人去访问aaa或者修改aaa或者在aaa下又创建其他文件的时候,我们只能在日志中看到对shared的访问信息,比如谁,在哪里,时间,但是他做了什么操作我们就无法得知了。
本地访问共享文件
情况与远端访问是一样的。

Windows server 2003的DC也是支持开启审计功能的,步骤如下:

在DC上打开“Active Directory Users and Computer”。
在“View”菜单上,单击“Advance”。
右键单击“DC”,然后单击“properties”。
单击“Group Policy”选项卡,单击“Default domain Controller Policy”,然后单击“Edit”。
单击“computer configuration”,双击“Windows setting”,双击“security setting”,双击“local policy”,然后双击“audit policy”。

在右窗格中,右键单击“object access”,然后单击“properties”。
单击“define policy setting”,然后勾选success和fail并确定
刷新组策略;
创建共享文件并进行访问;
打开安全日志查看记录的事件。

Windows server 2008 R2的DC也有这个功能,不同的是组策略的位置与windows server 2003的不一样。2008R2开启审计的组策略为:
Computer configuration\windows setting\security setting\Advance Audit Policy Configuration\Object access

在这个里面请把Audit detail file share, Audit file share, Audit file system这3个策略都是配置好,并将其中的success和fail都勾上。然后您就可以刷新策略,创建共享文件并在安全日志中查看相关事件了。