Ako zistiť, kto odstránil súbor na serveri Windows pomocou politiky auditu

Zistenie, kto odstránil súbor na serveri Windows, vyžaduje povolenie zásad auditu. Tu je postup, ako nastaviť auditovanie a určiť používateľa zodpovedného za odstránenie:

1. Povoliť auditovanie:

- Otvorte Editor lokálnej skupinovej politiky (gpedit.msc).

- Prejdite do časti „Zásady miestneho počítača> Konfigurácia počítača> Nastavenia systému Windows> Nastavenia zabezpečenia> Konfigurácia rozšírených zásad auditu“.

- V časti „Prístup k objektu“ povoľte nasledujúce možnosti auditu:

- "Audit File System"

- "Audit File Share"

- "Prístup k službe adresára auditu"

- Kliknutím na „Použiť“ a potom na „OK“ povolíte audit.

2. Skontrolujte denníky prehliadača udalostí:

- Otvorte prehliadač udalostí (Eventvwr.msc) na serveri Windows.

- Rozbaľte "Denníky systému Windows> Zabezpečenie".

- Filtrujte protokoly zabezpečenia podľa ID udalosti "4663" (Object Deleted).

3. Analyzujte podrobnosti udalosti:

- Dvakrát kliknite na príslušnú udalosť „Object Deleted“.

- V podrobnostiach udalosti vyhľadajte nasledujúce polia:

- "Používateľ":Používateľský účet, ktorý vykonal odstránenie.

- "Počítač":Počítač, z ktorého bol súbor odstránený.

- "Cesta k cieľovému súboru":Úplná cesta k odstránenému súboru.

- "Názov súboru":Názov súboru, ktorý bol odstránený.

Kombináciou týchto krokov môžete zistiť, kto odstránil súbor v systéme Windows Server prostredníctvom udalostí politiky auditu zaznamenaných v denníkoch Zobrazovača udalostí.

• Predchádzajúca strana: Ako vytvoriť zavádzaciu jednotku USB UEFI Inštalácia systému Windows 
• Ďalšia strana: Ako zmeniť sieťový profil (umiestnenie) verejný alebo súkromný v systéme Windows