A auditoria do Windows Server 2008 R2 é um recurso muito importante onde podemos auditar acesso a objetos, logons, gerenciamento de contas, uso de privilégios e muitos outros.
Para exemplificar, vamos imaginar que queremos verificar qual usuário está tentando se logar usando a conta de outros usuário, ou então queremos verificar que deletou um arquivo na pasta X.
Para verificar quem deletou o arquivo Y na pasta X, vamos aos passos:
1) Clique com o botão direito do mouse sobre a pasta > selecione Propriedados
2) Clique na Guia Segurança > em seguida clique no botão Avançadas
3) Clique na Guia Auditoria > clique em Editar e coloque o Grupo ou usuários que desejar auditar.
4) Marque êxito e Falha
5) Acesse as Ferramentas Administrativas > Gerenciamento de Diretiva de Grupo
6) Crie um GPO > Clique em Editar
7) Acesse Configurações do Computador> Diretivas > Configurações do Windows > Configurações de Segurança > Diretivas locais > Diretiva de auditoria
8) Dê um duplo clique sobre Auditoria de acesso a objetos
9) Selecione Êxito e Falha
10) Acesse Ferramentas Administrativas > Visualizador de Eventos
11) Clique em Localizar > digite DELETE que ele irá procurar todos os eventos que contenham DELETE. Outra dica é o ID do evento que é o 4663.
12) Observe que o usuário Ana > acessou a pasta Office 2010 Beta e deletou a pasta Paraguai as 19:35 horas