zhuiluo0000 2008-5-15 09:37
共享文件夾里面的文件被刪除如何查找刪除人?
在共享文件夾里面有修改權限的人都可以刪除文件夾,那要怎么樣才能確定是誰刪除的文件夾呢?
在共享文件夾的權限里面有管理員權限的人(比如Administrators、個人管理員)都可以刪除用戶的權限,那要如何才能知道是誰刪除的呢?
還是都不能查找到?
tomyfranncy 2008-5-15 09:45
安全日志里面应该有纪录但不知道怎么去查找出来~
andriy 2008-5-15 09:55
日志未做审核的话,windows系统还没这个功能,需要第三方软件支持。
zhuiluo0000 2008-5-15 10:05
日志作審核?是啥意思啊,那依斑竹的意思就是目前來說還是沒法查找出來了。
andriy 2008-5-15 10:39
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20Properties%20Page.jpg[/img]
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20Advanced.jpg[/img]?1
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20User%20Selection.jpg[/img]
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20Event%20Selection.jpg[/img]
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20Security%20Event%20560.jpg[/img]
[img]http://www.intelliadmin.com/images/Audit%20For%20Deleted%20Files%20Security%20Event%20560%20View.jpg[/img]
zhuiluo0000 2008-5-15 11:07
這個好像還是不能檢查出來是誰,我新建了個資料夾,然后按你剛才的方法對這個資料夾進行了稽核,稽核的人員是everyone和本部門所有的人,然后讓本部門的人去刪除我新建資料夾里面的資料夾,但在安全日志里面看不到有刪除文件夾的紀錄。
還不是很清楚哦,麻煩斑竹再指教指教!謝謝!
andriy 2008-5-15 13:55
我没有把具体操作写出来,因为是英文。
给个链接你去看吧。
[url]http://www.intelliadmin.com/blog/2008/03/use-auditing-to-track-who-deleted-your.html[/url]
zhuiluo0000 2008-5-15 16:19
看過了,但我按照上面的操作完后還是沒有出現560的事件,是不是WIN2K server和WIN2003 SERVER不一樣?但我看步驟應該是大同小異的,就添加EVERYONE那塊不一樣而已,應該沒有什么影響,但不知為什么就是沒有刪除文件夾的紀錄呢?
slyforever2004 2008-5-16 10:35
如BZ所说,很难查出来~
mengfq29 2008-5-18 12:04
对文件夹作了审核的话,在安全日志中应该是能查出来的呀,
zhuiluo0000 2008-5-19 17:48
嗯,已经知道原因了,是域策略设置问题,只设置了纪录失败,没有纪录成功,所以即使有删除也不会纪录。谢谢各位的解答!
