Ce tutoriel vous montrera comment vérifier qui a supprimé un fichier sur un ordinateur exécutant Windows.
Notre didacticiel vous apprendra toutes les étapes nécessaires à l’activation de la fonctionnalité d’audit d’objet sur un ordinateur Windows 2012.
• Le contrôleur de domaine exécute Windows 2012 R2.
• Les ordinateurs du domaine exécutent Windows 7 et Windows 10.
Liste du Matériel:
La section suivante présente la liste du matériel utilisé pour créer ce didacticiel Windows.
Tous les éléments matériels répertoriés ci-dessus sont disponibles sur le site Web d’Amazon.
Windows Playlist:
Sur cette page, nous offrons un accès rapide à une liste de vidéos relatives à Windows.
N’oubliez pas de vous abonner à notre chaîne youtube nommée FKIT.
Didacticiel Relatif à Windows:
Sur cette page, nous offrons un accès rapide à une liste de tutoriels relatifs à Windows.
Didacticiel – Configuration de l’objet de Stratégie de Ggroupe Object Audit
Tout d’abord, nous devons activer la fonctionnalité d’audit d’objet pour l’ensemble du domaine.
Les tâches suivantes ont été exécutées sur un contrôleur de domaine exécutant Windows 2012 R2 avec Active Directory.
Cliquez sur le menu Démarrer, recherchez et ouvrez l’outil de gestion des stratégies de groupe.
Dans l’écran Gestion des stratégies de groupe, localisez le dossier nommé Objets de stratégie de groupe.
Cliquez avec le bouton droit sur l’objet de stratégie de groupe nommé Stratégie de domaine par défaut et sélectionnez l’option Modifier.
Sur l’écran de l’éditeur de stratégie de groupe, vous serez présenté aux configurations utilisateur et aux configurations ordinateur.
Nous ne changerons que les configurations de l’ordinateur.
Nous n’avons pas besoin de changer la configuration de l’utilisateur.
Sur l’écran de l’éditeur de stratégie de groupe, développez le dossier de configuration de l’ordinateur et localisez l’élément suivant.
• Configuration de l’ordinateur> Stratégies> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Stratégie d’audit
A droite, la liste des options de configuration disponibles sera présentée.
Double-cliquez sur l’élément de configuration nommé: Audit Object Access.
Activez les paramètres de sécurité suivants:
• Définir ces paramètres de stratégie
• Succès
• Échec
Pour terminer la création de la stratégie de groupe, vous devez fermer la fenêtre de l’éditeur de stratégie de groupe.
Ce n’est que lorsque vous fermez la fenêtre de la stratégie de groupe que le système enregistre votre configuration.
Didacticiel – Activation de l’objet de Stratégie de Groupe Object Audit
Nous devons maintenant activer la fonctionnalité d’audit d’objet sur les fichiers et les dossiers souhaités.
Dans notre exemple, nous allons activer l’audit d’objet sur un dossier nommé TECHEXPERT.
Tout d’abord, créez un dossier nommé TECHEXPERT.
Deuxièmement, faites un clic droit sur le dossier et sélectionnez l’option Propriétés.
Sur l’écran Propriétés, accédez à l’onglet Sécurité et cliquez sur le bouton Avancé.
Sur l’écran Paramètres de sécurité avancés, accédez à l’onglet Audit et cliquez sur le bouton Ajouter.
Sur le nouvel écran, cliquez sur l’option Sélectionner un principal.
Entrez le groupe nommé Tout le monde et cliquez sur le bouton Ok.
Effectuez la configuration suivante:
• Type – Tous
• S’applique à – Ce dossier, sous-dossiers et fichiers
Dans la zone Autorisations avancées, cliquez sur l’option Afficher les autorisations avancées.
Dans la zone Autorisation avancée, activez uniquement les options suivantes:
• Supprimer des sous-dossiers et des fichiers.
• Effacer.
Cliquez sur le bouton Ok pour fermer Windows.
Cliquez sur le bouton Ok.
Cliquez sur le bouton Ok.
Redémarrez l’ordinateur pour activer la stratégie de groupe d’audit d’objet.
Dans notre exemple, nous avons activé l’audit d’objet dans un dossier nommé TECHEXPERT.
Vous avez terminé la configuration requise de l’audit d’objet.
Tutoriel – Qui a Supprimé Mon Fichier?
Vous avez terminé la création de l’objet de stratégie de groupe.
Cependant, vous devez toujours apprendre à découvrir qui a supprimé vos fichiers.
Dans notre exemple, nous allons vous montrer toutes les étapes nécessaires pour détecter qui a supprimé vos fichiers.
Commençons par créer un fichier texte nommé TEST.TXT dans le dossier TECHEXPERT.
Supprimez maintenant le fichier TEST.TXT.
Ouvrez l’application Windows Event Viewer.
Dans l’écran Observateur d’événements, développez les journaux Windows et sélectionnez l’option Sécurité.
Cliquez avec le bouton droit sur le journal de sécurité et sélectionnez l’option de recherche.
Entrez le nom du fichier supprimé et cliquez sur le bouton Rechercher.
Vous trouverez un ID d’événement 4663 avec les détails du fichier supprimé.
Dans notre exemple, nous avons détecté que le fichier TEST.TXT avait été supprimé par l’administrateur.