Windows Server 2012 R2 Essentialsをローカルにインストールして、ローカルで使用するためのファイル共有サーバーとして使用しています。 WindowsサーバーEssentialsダッシュボードでユーザーを作成し、同じでサーバーフォルダーも作成しました。最近、一部のユーザーがフォルダー全体を削除/カットしようとしたため、フォルダーの90%が削除され、一部のサブフォルダーとファイルが部分的に削除された状態になっています。 どのドメインユーザーがそれを行ったかを確認する方法はありますか?
予防策として、ドメインのユーザーがフォルダーを削除できないように、フォルダーのアクセス許可を変更しました
適切な監査が事前に構成されていない限り、そうではありません。
For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)
For the directory:
Advanced Security Settings, Auditing, Everyone - Delete (All)
これらを構成すると、セキュリティログにイベントID 4660 An object was deleted
とイベントID 4663が表示されます。
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\USER
Object:
Object Name: C:\share\one
Access Request Information:
Accesses: DELETE