web-dev-qa-db-ja.com

Windows Server 2012 R2ファイルを削除したユーザーを確認する方法

Windows Server 2012 R2 Essentialsをローカルにインストールして、ローカルで使用するためのファイル共有サーバーとして使用しています。 WindowsサーバーEssentialsダッシュボードでユーザーを作成し、同じでサーバーフォルダーも作成しました。最近、一部のユーザーがフォルダー全体を削除/カットしようとしたため、フォルダーの90%が削除され、一部のサブフォルダーとファイルが部分的に削除された状態になっています。 どのドメインユーザーがそれを行ったかを確認する方法はありますか?

予防策として、ドメインのユーザーがフォルダーを削除できないように、フォルダーのアクセス許可を変更しました

適切な監査が事前に構成されていない限り、そうではありません。

For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)

For the directory:
Advanced Security Settings, Auditing, Everyone - Delete (All)

これらを構成すると、セキュリティログにイベントID 4660 An object was deletedとイベントID 4663が表示されます。

An attempt was made to access an object.
  Subject:
    Security ID:        DOMAIN\USER
  Object:
    Object Name:        C:\share\one
  Access Request Information:
    Accesses:       DELETE
2
spacenomyous