Questo tutorial ti mostrerà come controllare chi ha eliminato un file su un computer che esegue Windows.

Il nostro tutorial ti insegnerà tutti i passaggi necessari per abilitare la funzionalità di controllo degli oggetti in un computer che esegue Windows 2012.

Il controller di dominio esegue Windows 2012 R2.

I computer del dominio eseguono Windows 7 e Windows 10.

Elenco hardware:

Nella sezione seguente viene visualizzato l'elenco delle apparecchiature utilizzate per creare questa esercitazione di Windows.The following section presents the list of equipment used to create this Windows tutorial.

Ogni pezzo di hardware sopra elencato può essere trovato sul sito web di Amazon.

Playlist di Windows:

In questa pagina, offriamo un rapido accesso a un elenco di video relativi a Windows.

Non dimenticare di iscriverti al nostro canale youtube chiamato FKIT.

Esercitazione correlata a Windows:

In questa pagina, offriamo un rapido accesso a un elenco di tutorial relativi a Windows.

Esercitazione - Configurare l'oggetto Criteri di gruppo Controllo oggetto

In primo luogo, è necessario abilitare la funzionalità di controllo degli oggetti per l'intero dominio.

Le attività seguenti sono state eseguite in un controller di dominio che esegue Windows 2012 R2 con Active Directory.

Fare clic sul menu Start, individuare e aprire lo strumento Gestione Criteri di gruppo.

Windows 2012 - Group Policy Management

Nella schermata Gestione Criteri di gruppo individuare la cartella denominata Oggetti Criteri di gruppo.

Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo denominato Criterio dominio predefinito e selezionare l'opzione Modifica.

Default Domain Policy

Nella schermata dell'editor dei criteri di gruppo verrà visualizzata la presentazione di Configurazioni utente e Configurazione computer.

Cambieremo solo le configurazioni del computer.

Non è necessario modificare alcuna configurazione utente.

Nella schermata dell'editor dei criteri di gruppo espandere la cartella Configurazione computer e individuare l'elemento seguente.

Criteri di > > configurazione > del > computer > Impostazioni impostazioni di Protezione Impostazioni criteri di controllo locali

GPO Audit Policy

Sulla destra verrà presentato l'elenco delle opzioni di configurazione disponibili.

Windows 2012 audit deleted objects

Fare doppio clic sull'elemento di configurazione denominato: Controlla accesso agli oggetti.

Abilitare le seguenti impostazioni di sicurezza:

- Definire queste impostazioni dei criteri
- Successo
- Guasto

Audit Object Access Properties

Per completare la creazione dei criteri di gruppo è necessario chiudere la finestra Editor criteri di gruppo.

Solo quando si chiude la finestra dei criteri di gruppo, il sistema salverà la configurazione.

Esercitazione - Abilitare l'oggetto Criteri di gruppo Controllo oggetto

A questo punto, è necessario abilitare la funzionalità di controllo degli oggetti sui file e le cartelle desiderati.

Nel nostro esempio, abiliteremo il controllo degli oggetti su una cartella denominata TECHEXPERT.

Creare innanzitutto una cartella denominata TECHEXPERT.

In secondo luogo, fare clic con il pulsante destro del mouse sulla cartella e selezionare l'opzione Proprietà.

Windows Object Audit folder

Nella schermata Proprietà, accedere alla scheda Sicurezza e fare clic sul pulsante Avanzate.

Windows audit deleted files- Security advanced

Nella schermata Impostazioni di sicurezza avanzate, accedere alla scheda Controllo e fare clic sul pulsante Aggiungi.

Windows object add auditing

Nella nuova schermata, fare clic sull'opzione Seleziona un'entità.

Auditing entry file object

Immettere il gruppo denominato Tutti e fare clic sul pulsante OK.

Add group everyone

Eseguire la seguente configurazione:

Tipo - Tutti

Si applica a - Questa cartella, sottocartelle e file

Audit deleted files windows

Nell'area Autorizzazioni avanzate fare clic sull'opzione Mostra autorizzazioni avanzate.

Nell'area Autorizzazione avanzata, attivare solo le seguenti opzioni:

- Eliminare sottocartelle e file.
- Cancellare.

Windows audit deleted file and folders

Fare clic sul pulsante OK per chiudere Windows.

Fare clic sul pulsante OK.

Fare clic sul pulsante OK.

Riavviare il computer per abilitare il criterio di gruppo Controllo oggetti.

Nel nostro esempio, abbiamo abilitato il controllo degli oggetti a una cartella denominata TECHEXPERT.

La configurazione di controllo degli oggetti richiesta è stata completata.

Tutorial - Chi ha eliminato il mio file?

La creazione dell'oggetto Criteri di gruppo è stata completata.

Ma, è ancora necessario imparare a scoprire chi ha eliminato i file.

Nel nostro esempio, ti mostreremo tutti i passaggi necessari per rilevare chi ha eliminato i tuoi file.

In primo luogo, creiamo un file di testo denominato TEST. TXT all'interno della cartella TECHEXPERT.

Windows audit deleted file

A questo punto, eliminare il test. Txt.

Aprire l'applicazione Visualizzatore eventi di Windows.

Nella schermata Visualizzatore eventi espandere Registri di Windows e selezionare l'opzione Protezione.

Event Viewer

Fare clic con il pulsante destro del mouse sul registro di protezione e selezionare l'opzione Trova.

Immettere il nome del file eliminato e fare clic sul pulsante Trova.

Windows log find deleted files

È possibile trovare un ID visualizzatore eventi 4663 con i dettagli del file eliminato.

Windows who deleted my file

Nel nostro esempio, abbiamo rilevato che il TEST. TXT è stato eliminato dall'amministratore.