Windows
windows server 2012 R2如何找出誰刪除了文件
我在本地安裝了 windows server 2012 R2 Essentials,將其用作本地使用的文件共享伺服器。我已經使用 Windows Server Essentials 儀表板創建了使用者,並且還創建了相同的伺服器文件夾。最近有人嘗試刪除/剪切整個文件夾,結果 90% 的文件夾消失了,一些子文件夾和文件處於部分刪除狀態。有沒有辦法找出是哪個域使用者這樣做的?
作為預防措施,我現在確實更改了文件夾權限,因此域使用者無法刪除文件夾
除非事先配置了適當的審核,否則不會。
For the system: Advanced Audit Policy, Object Access, Audit File System (Success and Failure) For the directory: Advanced Security Settings, Auditing, Everyone - Delete (All)
配置完成後,您會
An object was deleted
在安全日誌中看到事件 ID 4660 和事件 ID 4663:An attempt was made to access an object. Subject: Security ID: DOMAIN\USER Object: Object Name: C:\share\one Access Request Information: Accesses: DELETE