Como descobrir quem apagou arquivos do windows server 2012 R2

1

Eu tenho o Windows Server 2012 R2 Essentials instalado no meu local para usá-lo como um servidor de compartilhamento de arquivos para uso local. Eu criei usuários com o painel do Windows Server Essentials e também criei pastas do servidor com o mesmo. Recentemente, alguém tentou excluir / cortar uma pasta inteira e, como resultado, 90% da pasta desapareceu e algumas subpastas e arquivos estão em estado de exclusão parcial. existe uma maneira de descobrir qual usuário do domínio fez isso?

como precaução, eu mudei as permissões da pasta agora, para que os usuários do domínio não possam excluir uma pasta

    
por Sudarshan Anbazhagan 01.11.2017 / 13:45

1 resposta

2

Não, a menos que a auditoria correta tenha sido configurada anteriormente.

For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)

For the directory:
Advanced Security Settings, Auditing, Everyone - Delete (All)

Com os configurados, você verá a ID de evento 4660 An object was deleted e a ID de evento 4663 no log de segurança:

An attempt was made to access an object.
  Subject:
    Security ID:        DOMAIN\USER
  Object:
    Object Name:        C:\share\one
  Access Request Information:
    Accesses:       DELETE
    
por 01.11.2017 / 18:11