In deze zelfstudie ziet u hoe u kunt controleren wie een bestand heeft verwijderd op een computer met Windows.

In onze zelfstudie leert u alle stappen die nodig zijn om de objectcontrolefunctie in te schakelen op een computer met Windows 2012.

• De domeincontroller gebruikt Windows 2012 R2.

• Op de domeincomputers worden Windows 7 en Windows 10 uitgevoerd.

Hardware Lijst:

In het volgende gedeelte wordt de lijst met apparaten weergegeven die zijn gebruikt om deze Windows-zelfstudie te maken.

Elk onderdeel van de hierboven genoemde hardware is te vinden op de Amazon-website.

Windows Playlist:

Op deze pagina bieden we snelle toegang tot een lijst met video's gerelateerd aan Windows.

Vergeet niet je te abonneren op ons YouTube-kanaal met de naam FKIT.

Windows Gerelateerde Zelfstudie:

Op deze pagina bieden we snelle toegang tot een lijst met handleidingen met betrekking tot Windows.

Zelfstudie - Configureer het GPO-objectcontrole

Ten eerste moeten we de objectcontrolefunctie voor het hele domein inschakelen.

De volgende taken zijn uitgevoerd op een domeincontroller met Windows 2012 R2 met Active Directory.

Klik op het menu Start, zoek en open de tool Groepsbeleidsbeheer.

Zoek in het scherm Group Policy Management de map met de naam Group Policy Objects.

Klik met de rechtermuisknop op het groepsbeleidsobject met de naam Standaarddomeinbeleid en selecteer de optie Bewerken.

Default Domain Policy

Op het scherm van de groepsbeleid-editor wordt u gepresenteerd aan gebruikersconfiguraties en computerconfiguraties.

We zullen alleen de computerconfiguraties veranderen.

We hoeven geen enkele gebruikersconfiguratie te veranderen.

Vouw op het scherm van de groepsbeleid-editor de map Computerconfiguratie uit en zoek het volgende item.

• Computerconfiguratie> Beleid> Windows-instellingen> Beveiligingsinstellingen> Lokaal beleid> Controlebeleid

GPO Audit Policy

Aan de rechterkant wordt de lijst met beschikbare configuratie-opties gepresenteerd.

Windows 2012 audit deleted objects

Dubbelklik op het configuratie-item met de naam: Audit Object Access.

Schakel de volgende beveiligingsinstellingen in:

• Definieer deze beleidsinstellingen
• Succes
• Mislukking

Audit Object Access Properties

Om het maken van het groepsbeleid te voltooien, moet u het venster Groepsbeleidseditor sluiten.

Alleen als u het groepsbeleidsvenster sluit, slaat het systeem uw configuratie op.

Zelfstudie - Schakel het GPO-objectcontrole in

Nu moeten we de objectcontrole op de gewenste bestanden en mappen inschakelen.

In ons voorbeeld gaan we de objectcontrole in een map met de naam TECHEXPERT inschakelen.

Maak eerst een map met de naam TECHEXPERT.

Ten tweede, klik met de rechtermuisknop op de map en selecteer de optie Eigenschappen.

Windows Object Audit folder

Open in het scherm Eigenschappen het tabblad Beveiliging en klik op de knop Geavanceerd.

Windows audit deleted files- Security advanced

Ga in het scherm Geavanceerde beveiligingsinstellingen naar het tabblad Controle en klik op de knop Toevoegen.

Windows object add auditing

Klik in het nieuwe scherm op de optie Selecteer een principal.

Auditing entry file object

Voer de groep met de naam Iedereen in en klik op de knop OK.

Add group everyone

Voer de volgende configuratie uit:

• Type - Alles

• Van toepassing op - Deze map, submappen en bestanden

Audit deleted files windows

Klik in het gebied Geavanceerde rechten op de optie Geavanceerde rechten tonen.

Windows Audit object basic permissions

Schakel in het gebied Geavanceerde toegang alleen de volgende opties in:

• Verwijder submappen en bestanden.
• Verwijderen.

Windows audit deleted file and folders

Klik op de knop OK om Windows te sluiten.

Klik op de knop OK.

Klik op de knop OK.

Start de computer opnieuw op om het beveiligingsbeleid voor de objectgroep in te schakelen.

In ons voorbeeld hebben we de objectcontrole ingeschakeld voor een map met de naam TECHEXPERT.

U hebt de vereiste configuratie van de objectcontrole voltooid.

Tutorial - Wie heeft mijn bestand verwijderd?

U bent klaar met het maken van de groepsbeleidsobject.

Maar u moet nog steeds leren hoe u kunt ontdekken wie uw bestanden heeft verwijderd.

In ons voorbeeld laten we u alle vereiste stappen zien om te detecteren wie uw bestanden heeft verwijderd.

Laten we eerst een tekstbestand maken met de naam TEST.TXT in de map TECHEXPERT.

Windows audit deleted file

Verwijder nu het TEST.TXT-bestand.

Open de toepassing Windows Event Viewer.

Vouw op het scherm Gebeurtenisviewer de Windows-logboeken open en selecteer de optie Beveiliging.

Event Viewer

Klik met de rechtermuisknop op het beveiligingslogboek en selecteer de optie Zoeken.

Voer de naam van het verwijderde bestand in en klik op de knop Zoeken.

Windows log find deleted files

U vindt een gebeurteniskijker-ID 4663 met de details van het verwijderde bestand.

Windows who deleted my file

In ons voorbeeld hebben we gedetecteerd dat het bestand TEST.TXT door de beheerder is verwijderd.