Πώς να εντοπίσετε ποιος διέγραψε ένα αρχείο στον Windows Server με την Πολιτική ελέγχου

Ο εντοπισμός του ποιος διέγραψε ένα αρχείο στον Windows Server απαιτεί ενεργοποίηση πολιτικών ελέγχου. Δείτε πώς μπορείτε να ρυθμίσετε τον έλεγχο και να εντοπίσετε τον χρήστη που είναι υπεύθυνος για τη διαγραφή:

1. Ενεργοποίηση ελέγχου:

- Ανοίξτε τον Επεξεργαστή πολιτικής τοπικής ομάδας (gpedit.msc).

- Μεταβείτε στην "Πολιτική τοπικού υπολογιστή> Διαμόρφωση υπολογιστή> Ρυθμίσεις Windows> Ρυθμίσεις ασφαλείας> Προηγμένη ρύθμιση παραμέτρων πολιτικής ελέγχου".

- Στην περιοχή "Πρόσβαση αντικειμένου", ενεργοποιήστε τις ακόλουθες επιλογές ελέγχου:

- "Σύστημα αρχείων ελέγχου"

- "Έλεγχος κοινής χρήσης αρχείου"

- "Πρόσβαση υπηρεσίας καταλόγου ελέγχου"

- Κάντε κλικ στο "Εφαρμογή" και μετά στο "OK" για να ενεργοποιήσετε τον έλεγχο.

2. Ελέγξτε τα αρχεία καταγραφής προβολής συμβάντων:

- Ανοίξτε το Event Viewer (Eventvwr.msc) στον Windows Server.

- Αναπτύξτε το "Αρχεία καταγραφής των Windows> Ασφάλεια".

- Φιλτράρετε τα αρχεία καταγραφής ασφαλείας κατά το αναγνωριστικό συμβάντος "4663" (Διαγράφηκε αντικείμενο).

3. Αναλύστε τις λεπτομέρειες του συμβάντος:

- Κάντε διπλό κλικ στο σχετικό συμβάν "Διαγράφηκε αντικείμενο".

- Στις λεπτομέρειες της εκδήλωσης, αναζητήστε τα ακόλουθα πεδία:

- "Χρήστης":Ο λογαριασμός χρήστη που πραγματοποίησε τη διαγραφή.

- "Υπολογιστής":Ο υπολογιστής από τον οποίο διαγράφηκε το αρχείο.

- "Target File Path":Η πλήρης διαδρομή προς το διαγραμμένο αρχείο.

- "Όνομα αρχείου":Το όνομα του αρχείου που διαγράφηκε.

Συνδυάζοντας αυτά τα βήματα, μπορείτε να εντοπίσετε ποιος διέγραψε ένα αρχείο στον Windows Server μέσω συμβάντων πολιτικής ελέγχου που έχουν καταγραφεί στα αρχεία καταγραφής του προγράμματος προβολής συμβάντων.