У меня есть Windows Server 2012 R2 Essentials, установленный на моем локальном компьютере, чтобы использовать его в качестве сервера обмена файлами для локального использования. Я создал пользователей с панелью инструментов Windows Server Essentials, а также создал с ними папки сервера. Недавно кто-то попытался удалить / вырезать всю папку, и в результате, как будто 90% папки исчезло, а некоторые подпапки и файлы находятся в частично удаленном состоянии. есть ли способ узнать, какой пользователь домена это сделал?
в качестве меры предосторожности я изменил права доступа к папке, чтобы пользователи домена не могли удалить папку
Нет, если заранее не был настроен надлежащий аудит.
For the system:
Advanced Audit Policy, Object Access, Audit File System (Success and Failure)
For the directory:
Advanced Security Settings, Auditing, Everyone - Delete (All)
После настройки вы увидите событие с кодом 4660. An object was deleted и идентификатор события 4663 в журнале безопасности:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\USER
Object:
Object Name: C:\share\one
Access Request Information:
Accesses: DELETE