För att upptäcka vem som tagit bort en fil på Windows Server krävs aktivering av granskningspolicyer. Så här ställer du in revision och pekar ut den användare som är ansvarig för borttagningen:
1. Aktivera granskning:
- Öppna den lokala grupprincipredigeraren (gpedit.msc).
- Gå till "Lokal datorpolicy> Datorkonfiguration> Windows-inställningar> Säkerhetsinställningar> Avancerad revisionspolicykonfiguration".
- Under "Objektåtkomst" aktiverar du följande granskningsalternativ:
- "Revisionsfilsystem"
- "Revision fildelning"
- "Audit Directory Service Access"
- Klicka på "Apply" och sedan "OK" för att aktivera granskning.
2. Kontrollera loggar för händelsevisaren:
- Öppna Event Viewer (Eventvwr.msc) på Windows Server.
- Expandera "Windows Loggar> Säkerhet".
- Filtrera säkerhetsloggarna efter händelse-ID "4663" (objekt raderat).
3. Analysera händelsedetaljerna:
- Dubbelklicka på den relevanta händelsen "Objekt borttaget".
- Leta efter följande fält i händelseinformationen:
- "Användare":Användarkontot som utförde raderingen.
- "Dator":Datorn från vilken filen raderades.
- "Target File Path":Den fullständiga sökvägen till den raderade filen.
- "Filnamn":Namnet på filen som raderades.
Genom att kombinera dessa steg kan du upptäcka vem som tagit bort en fil på Windows Server genom granskningspolicyhändelser som registrerats i Loggboken.
