Из этого туториала Вы узнаете, как проверять, кто удалил файл на компьютере под управлением Windows.
Наш учебник научит вас всем шагам, необходимым для включения функции аудита объектов на компьютере под управлением Windows 2012.
• Контроллер домена работает под управлением Windows 2012 R2.
• Доменные компьютеры работают под управлением Windows 7 и Windows 10.
Список оборудования:
В следующем разделе представлен список оборудования, использованного для создания этого учебника по Windows.
Все вышеперечисленное оборудование можно найти на сайте Amazon.
Windows Playlist:
На этой странице мы предлагаем быстрый доступ к списку видео, связанных с Windows.
Не забудьте подписаться на наш канал на YouTube FKIT.
Учебник по Windows:
На этой странице мы предлагаем быстрый доступ к списку учебных пособий, связанных с Windows.
Учебное пособие — настройка объекта аудита объектов групповой политики
Во-первых, нам нужно включить функцию аудита объектов для всего домена.
Следующие задачи были выполнены на контроллере домена под управлением Windows 2012 R2 с Active Directory.
Нажмите на меню Пуск, найдите и откройте инструмент управления групповой политикой.
На экране управления групповой политикой найдите папку с именем «Объекты групповой политики».
Щелкните правой кнопкой мыши объект групповой политики с именем Default Domain Policy и выберите опцию Edit.
На экране редактора групповой политики вам будут представлены Конфигурации пользователя и Конфигурации компьютера.
Мы будем изменять только конфигурации компьютера.
Нам не нужно менять конфигурацию пользователя.
На экране редактора групповой политики разверните папку «Конфигурация компьютера» и найдите следующий элемент.
• Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита
Справа будет представлен список доступных опций конфигурации.
Дважды щелкните элемент конфигурации с именем: Audit Object Access.
Включите следующие параметры безопасности:
• Определите эти параметры политики
• успех
• отказ
Для завершения создания групповой политики необходимо закрыть окно редактора групповой политики.
Только когда вы закроете окно групповой политики, система сохранит вашу конфигурацию.
Учебник — Включение объекта аудита объектов групповой политики
Теперь нам нужно включить функцию аудита объектов для нужных файлов и папок.
В нашем примере мы собираемся включить аудит объекта в папке с именем TECHEXPERT.
Сначала создайте папку с именем TECHEXPERT.
Во-вторых, щелкните правой кнопкой мыши папку и выберите опцию «Свойства».
На экране «Свойства» откройте вкладку «Безопасность» и нажмите кнопку «Дополнительно».
На экране «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите кнопку «Добавить».
На новом экране нажмите на опцию Выбрать принципала.
Введите группу с именем «Все» и нажмите кнопку «ОК».
Выполните следующую конфигурацию:
• Тип — Все
• Относится к — эта папка, подпапки и файлы
В области «Дополнительные разрешения» выберите параметр «Показать дополнительные разрешения».
В области «Расширенные права» включите только следующие параметры:
• Удалить подпапки и файлы.
• Удалять.
Нажмите на кнопку ОК, чтобы закрыть Windows.
Нажмите на кнопку ОК.
Нажмите на кнопку ОК.
Перезагрузите компьютер, чтобы включить групповую политику аудита объектов.
В нашем примере мы включили аудит объекта в папку с именем TECHEXPERT.
Вы завершили необходимую настройку аудита объекта.
Учебник — Кто удалил мой файл?
Вы закончили создание объекта групповой политики.
Но вам все равно нужно узнать, как узнать, кто удалил ваши файлы.
В нашем примере мы покажем вам все шаги, необходимые для определения, кто удалил ваши файлы.
Сначала давайте создадим текстовый файл с именем TEST.TXT внутри папки TECHEXPERT.
Теперь удалите файл TEST.TXT.
Откройте приложение Windows Event Viewer.
На экране просмотра событий разверните Журналы Windows и выберите параметр Безопасность.
Щелкните правой кнопкой мыши журнал безопасности и выберите параметр «Найти».
Введите имя удаленного файла и нажмите кнопку «Найти».
Вы найдете ID 4663 средства просмотра событий с подробной информацией об удаленном файле.
В нашем примере мы обнаружили, что файл TEST.TXT был удален администратором.