在实际工作中总是遇到这样的问题,存在公共盘的文件在某个时间突然消失,被删除。但是因可编辑这个公共盘的人员过多,想要查看文件被谁删除比较困难,所以我们可以做如下操作。
1.首先进入文件服务器中,打开本地组策略编辑器或在文件服务器运行输入gpedit.msc。
2.进入本地组编辑器-计算机配置-Windows设置-安全设置-高级审核策略配置-对象访问-审核文件系统。
3.编辑审核文件系统。
4.找到需要审核的文件夹(或者找到共享的文件夹),右键选择“属性”—“安全”—“高级”—“审核”—“添加”。
这里添加主体选择domain users(加域) 或者everyone(没加域)
根据需要设置权限(如只需要删除的记录可以只选择删除子文件夹及文件即可)
5.然后再管理工具中找到“事件查看器”—“Windows日志”—“安全”,筛选日志ID为4663的日志(Windows Logs -> Security), 我们可以看到它包含有关已删除文件的名称、删除文件的用户的帐户和进程名称的信息.
筛选如下所示。
根据筛选的内容可以查看到被删除的文件,以及谁删除此文件。
更多推荐
查找文件被删除的记录日志
发布评论