Windows

windows server 2012 R2如何找出誰刪除了文件

  • November 1, 2017

我在本地安裝了 windows server 2012 R2 Essentials,將其用作本地使用的文件共享伺服器。我已經使用 Windows Server Essentials 儀表板創建了使用者,並且還創建了相同的伺服器文件夾。最近有人嘗試刪除/剪切整個文件夾,結果 90% 的文件夾消失了,一些子文件夾和文件處於部分刪除狀態。有沒有辦法找出是哪個域使用者這樣做的?

作為預防措施,我現在確實更改了文件夾權限,因此域使用者無法刪除文件夾

除非事先配置了適當的審核,否則不會。

For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)

For the directory:
Advanced Security Settings, Auditing, Everyone - Delete (All)

配置完成後,您會An object was deleted在安全日誌中看到事件 ID 4660 和事件 ID 4663:

An attempt was made to access an object.
 Subject:
   Security ID:        DOMAIN\USER
 Object:
   Object Name:        C:\share\one
 Access Request Information:
   Accesses:       DELETE

引用自:https://serverfault.com/questions/881344