И так, не редко бывает так, что кто-то удалил файл из общего ресурса корпоративной сети и никто не сознается. Есть способ узнать кто же это сделал!
Аудит объектов в Windows Server
Включаем возможность аудита объектов (файлов и папок). Переходим в «панель управления» — «администрирование» — «локальная политика безопасности».
Дальше выбираем — локальные политики — политики аудита — Аудит доступа к объектам. Ставим «успех».
Идем к файлам и папкам.
Правой кнопкой на нужной папке (для которой будет проводить мониторинг аудит) — вкладка БЕЗОПАСНОСТЬ — кнопка ДОПОЛНИТЕЛЬНО — вкладка АУДИТ — кнопка ИЗМЕНИТЬ — добавляем группу пользователей ВСЕ (или по желанию конкретных) — ставим галку «заменить все наследуемые элементы …» — в новом окне выбираем «Для этой папки, ее подпапок и файлов» (при необходимости) — выбираем все права — галочки «применять этот аудит к объектам и контейнерам только внутри этого контейнера» не ставим (потому что аудит тогда будет проводиться только для файлов и папок внутри нужной нам, а не для всех файлов и всех подпапок).
Далее везде жмём ОК, и переходим к созданию фильтра для просмотра событий. Переходим к журналам событий Windows:
Диспетчер сервера — Диагностика — Просмотр событий — Журналы Windows — Безопасность. Справа выбираем пункт — Фильтр текущего представления.
И настраиваем фильтр на удаление файлов: код события 4663.
В итоге мы должны увидеть события различного рода, в том числе и удаленных файлов, и папок.
Вот так не сложно можно найти виновника удаления файлов!
Ставьте лайки и подписывайтесь на наш канал на Дзен.