Ce tutoriel vous montrera comment vérifier qui a supprimé un fichier sur un ordinateur exécutant Windows.

Notre didacticiel vous apprendra toutes les étapes nécessaires à l'activation de la fonctionnalité d'audit d'objet sur un ordinateur Windows 2012.

• Le contrôleur de domaine exécute Windows 2012 R2.

• Les ordinateurs du domaine exécutent Windows 7 et Windows 10.

Liste du Matériel:

La section suivante présente la liste du matériel utilisé pour créer ce didacticiel Windows.

Tous les éléments matériels répertoriés ci-dessus sont disponibles sur le site Web d'Amazon.

Windows Playlist:

Sur cette page, nous offrons un accès rapide à une liste de vidéos relatives à Windows.

N'oubliez pas de vous abonner à notre chaîne youtube nommée FKIT.

Didacticiel Relatif à Windows:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels relatifs à Windows.

Didacticiel - Configuration de l'objet de Stratégie de Ggroupe Object Audit

Tout d'abord, nous devons activer la fonctionnalité d'audit d'objet pour l'ensemble du domaine.

Les tâches suivantes ont été exécutées sur un contrôleur de domaine exécutant Windows 2012 R2 avec Active Directory.

Cliquez sur le menu Démarrer, recherchez et ouvrez l'outil de gestion des stratégies de groupe.

Dans l'écran Gestion des stratégies de groupe, localisez le dossier nommé Objets de stratégie de groupe.

Cliquez avec le bouton droit sur l'objet de stratégie de groupe nommé Stratégie de domaine par défaut et sélectionnez l'option Modifier.

Default Domain Policy

Sur l'écran de l'éditeur de stratégie de groupe, vous serez présenté aux configurations utilisateur et aux configurations ordinateur.

Nous ne changerons que les configurations de l'ordinateur.

Nous n'avons pas besoin de changer la configuration de l'utilisateur.

Sur l'écran de l'éditeur de stratégie de groupe, développez le dossier de configuration de l'ordinateur et localisez l'élément suivant.

• Configuration de l'ordinateur> Stratégies> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Stratégie d'audit

GPO Audit Policy

A droite, la liste des options de configuration disponibles sera présentée.

Windows 2012 audit deleted objects

Double-cliquez sur l'élément de configuration nommé: Audit Object Access.

Activez les paramètres de sécurité suivants:

• Définir ces paramètres de stratégie
• Succès
• Échec

Audit Object Access Properties

Pour terminer la création de la stratégie de groupe, vous devez fermer la fenêtre de l'éditeur de stratégie de groupe.

Ce n'est que lorsque vous fermez la fenêtre de la stratégie de groupe que le système enregistre votre configuration.

Didacticiel - Activation de l'objet de Stratégie de Groupe Object Audit

Nous devons maintenant activer la fonctionnalité d’audit d’objet sur les fichiers et les dossiers souhaités.

Dans notre exemple, nous allons activer l'audit d'objet sur un dossier nommé TECHEXPERT.

Tout d’abord, créez un dossier nommé TECHEXPERT.

Deuxièmement, faites un clic droit sur le dossier et sélectionnez l'option Propriétés.

Windows Object Audit folder

Sur l'écran Propriétés, accédez à l'onglet Sécurité et cliquez sur le bouton Avancé.

Windows audit deleted files- Security advanced

Sur l'écran Paramètres de sécurité avancés, accédez à l'onglet Audit et cliquez sur le bouton Ajouter.

Windows object add auditing

Sur le nouvel écran, cliquez sur l'option Sélectionner un principal.

Auditing entry file object

Entrez le groupe nommé Tout le monde et cliquez sur le bouton Ok.

Add group everyone

Effectuez la configuration suivante:

• Type - Tous

• S'applique à - Ce dossier, sous-dossiers et fichiers

Audit deleted files windows

Dans la zone Autorisations avancées, cliquez sur l'option Afficher les autorisations avancées.

Windows Audit object basic permissions

Dans la zone Autorisation avancée, activez uniquement les options suivantes:

• Supprimer des sous-dossiers et des fichiers.
• Effacer.

Windows audit deleted file and folders

Cliquez sur le bouton Ok pour fermer Windows.

Cliquez sur le bouton Ok.

Cliquez sur le bouton Ok.

Redémarrez l'ordinateur pour activer la stratégie de groupe d'audit d'objet.

Dans notre exemple, nous avons activé l'audit d'objet dans un dossier nommé TECHEXPERT.

Vous avez terminé la configuration requise de l'audit d'objet.

Tutoriel - Qui a Supprimé Mon Fichier?

Vous avez terminé la création de l'objet de stratégie de groupe.

Cependant, vous devez toujours apprendre à découvrir qui a supprimé vos fichiers.

Dans notre exemple, nous allons vous montrer toutes les étapes nécessaires pour détecter qui a supprimé vos fichiers.

Commençons par créer un fichier texte nommé TEST.TXT dans le dossier TECHEXPERT.

Windows audit deleted file

Supprimez maintenant le fichier TEST.TXT.

Ouvrez l'application Windows Event Viewer.

Dans l'écran Observateur d'événements, développez les journaux Windows et sélectionnez l'option Sécurité.

Event Viewer

Cliquez avec le bouton droit sur le journal de sécurité et sélectionnez l'option de recherche.

Entrez le nom du fichier supprimé et cliquez sur le bouton Rechercher.

Windows log find deleted files

Vous trouverez un ID d'événement 4663 avec les détails du fichier supprimé.

Windows who deleted my file

Dans notre exemple, nous avons détecté que le fichier TEST.TXT avait été supprimé par l'administrateur.