In diesem Lernprogramm erfahren Sie, wie Sie prüfen, wer eine Datei auf einem Windows-Computer gelöscht hat.

In diesem Lernprogramm erfahren Sie, welche Schritte erforderlich sind, um die Objektprüfungsfunktion auf einem Computer unter Windows 2012 zu aktivieren.

• Auf dem Domänencontroller wird Windows 2012 R2 ausgeführt.

• Auf den Domänencomputern wird Windows 7 und Windows 10 ausgeführt.

Hardware-Liste:

Der folgende Abschnitt enthält eine Liste der Geräte, die zum Erstellen dieses Windows-Lernprogramms verwendet werden.

Alle oben aufgeführten Hardwarekomponenten finden Sie auf der Amazon-Website.

Windows Playlist:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Videos, die sich auf Windows beziehen.

Vergessen Sie nicht, unseren Youtube-Kanal mit dem Namen FKIT.

Windows-bezogenes Tutorial:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials zu Windows.

Lernprogramm – Konfigurieren Sie das Object Audit-Gruppenrichtlinienobjekt

Zunächst müssen wir die Objektprüfungsfunktion für die gesamte Domäne aktivieren.

Die folgenden Aufgaben wurden auf einem Domänencontroller ausgeführt, auf dem Windows 2012 R2 mit Active Directory ausgeführt wird.

Klicken Sie im Startmenü auf, und suchen Sie das Gruppenrichtlinienverwaltungstool.

Suchen Sie im Bildschirm „Gruppenrichtlinienverwaltung“ den Ordner „Gruppenrichtlinienobjekte“.

Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt mit dem Namen Standarddomänenrichtlinie, und wählen Sie die Option Bearbeiten aus.

Default Domain Policy

Auf dem Bildschirm Gruppenrichtlinien-Editor werden Benutzerkonfigurationen und Computerkonfigurationen angezeigt.

Wir werden nur die Computerkonfigurationen ändern.

Wir müssen keine Benutzerkonfiguration ändern.

Erweitern Sie im Bildschirm Gruppenrichtlinien-Editor den Ordner Computerkonfiguration und suchen Sie das folgende Element.

• Computerkonfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Überwachungsrichtlinie

GPO Audit Policy

Auf der rechten Seite wird die Liste der verfügbaren Konfigurationsoptionen angezeigt.

Windows 2012 audit deleted objects

Doppelklicken Sie auf das Konfigurationselement mit dem Namen: Audit Object Access.

Aktivieren Sie die folgenden Sicherheitseinstellungen:

• Definieren Sie diese Richtlinieneinstellungen
• Erfolg
• Fehler

Audit Object Access Properties

Um die Gruppenrichtlinienerstellung abzuschließen, müssen Sie das Fenster Gruppenrichtlinien-Editor schließen.

Nur wenn Sie das Gruppenrichtlinienfenster schließen, speichert das System Ihre Konfiguration.

Lernprogramm – Aktivieren Sie das Object Audit-Gruppenrichtlinienobjekt

Jetzt müssen wir die Objektprüfungsfunktion für die gewünschten Dateien und Ordner aktivieren.

In unserem Beispiel aktivieren wir die Objektprüfung für einen Ordner namens TECHEXPERT.

Erstellen Sie zunächst einen Ordner mit dem Namen TECHEXPERT.

Zweitens, klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie die Option Eigenschaften.

Windows Object Audit folder

Rufen Sie im Bildschirm Eigenschaften die Registerkarte Sicherheit auf und klicken Sie auf die Schaltfläche Erweitert.

Windows audit deleted files- Security advanced

Rufen Sie im Bildschirm Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung auf und klicken Sie auf die Schaltfläche Hinzufügen.

Windows object add auditing

Klicken Sie im neuen Bildschirm auf die Option Select a Principal.

Auditing entry file object

Geben Sie die Gruppe mit dem Namen Jeder ein und klicken Sie auf die Schaltfläche OK.

Add group everyone

Führen Sie folgende Konfiguration durch:

• Typ – Alle

• Gilt für – Diesen Ordner, Unterordner und Dateien

Audit deleted files windows

Klicken Sie im Bereich Erweiterte Berechtigungen auf die Option Erweiterte Berechtigungen anzeigen.

Windows Audit object basic permissions

Aktivieren Sie im Bereich Erweiterte Berechtigungen nur die folgenden Optionen:

• Löschen Sie Unterordner und Dateien.
• Löschen.

Windows audit deleted file and folders

Klicken Sie auf die Schaltfläche OK, um das Fenster zu schließen.

Klicken Sie auf die Schaltfläche OK.

Klicken Sie auf die Schaltfläche OK.

Starten Sie den Computer neu, um die Objektprüfgruppenrichtlinie zu aktivieren.

In unserem Beispiel haben wir die Objektprüfung für einen Ordner mit dem Namen TECHEXPERT aktiviert.

Sie haben die erforderliche Objektprüfkonfiguration abgeschlossen.

Tutorial – Wer hat meine Datei gelöscht?

Sie haben die Erstellung des Gruppenrichtlinienobjekts abgeschlossen.

Sie müssen jedoch noch lernen, zu erfahren, wer Ihre Dateien gelöscht hat.

In unserem Beispiel zeigen wir Ihnen alle Schritte, die erforderlich sind, um herauszufinden, wer Ihre Dateien gelöscht hat.

Zuerst erstellen wir eine Textdatei mit dem Namen TEST.TXT im Ordner TECHEXPERT.

Windows audit deleted file

Löschen Sie jetzt die TEST.TXT-Datei.

Öffnen Sie die Windows-Ereignisanzeige.

Erweitern Sie im Bildschirm Ereignisanzeige die Windows-Protokolle, und wählen Sie die Option Sicherheit aus.

Event Viewer

Klicken Sie mit der rechten Maustaste auf das Sicherheitsprotokoll und wählen Sie die Option Suchen.

Geben Sie den Namen der gelöschten Datei ein und klicken Sie auf die Schaltfläche Suchen.

Windows log find deleted files

Sie finden eine Event-Viewer-ID 4663 mit den Details der gelöschten Datei.

Windows who deleted my file

In unserem Beispiel haben wir festgestellt, dass die TEST.TXT-Datei vom Administrator gelöscht wurde.