Windows Server 2012 稽核刪除檔案的紀錄

  幾年前,偶會發生User詢問能不能找出誰刪了Server上檔案的紀錄,忘了當時是找不到資料還是試不出來,后来就作罢。前阵子无意间看到相关文章教学,剛試了一下,做个纪录:

  • 执行输入gpedit.msc,【電腦設定】 ->【Windows設定】->【安全性設定】->【本機原則】->【稽核原則】

  • 點擊【稽核物件存取】,勾选【成功】。

 

  • 對目的資料夾按右鍵,選【內容】->【安全性】->【進階】->【稽核】

 

  • 選【新增】->【選取一個主體】->【Everyone】->【顯示進階權限】->只勾【删除此资料夹及档案】、【删除】两个

 

接着是到Windows纪录查看结果:

  • 在【Windows記錄】->【安全性】按右鍵,選【篩選目前的記錄】

 

  • 输入跟删除有关的事件代码:4656,4663

 

  • 刪除個資料夾做測試

 

提示. 最前面的群組原則(输入gpedit.msc)沒設定的話,雖然會有記錄,但不會顯示被刪的檔案路徑

 

【相关连结】

发表评论

请注意:: 评论审核已启用,可能会耽误您的评论. 有没有必要重新提交您的评论.