本教程将向您展示如何审核谁在运行Windows的计算机上删除了文件。

我们的教程将教您在运行Windows 2012的计算机上启用对象审核功能所需的所有步骤。

•域控制器正在运行Windows 2012 R2。

•域计算机正在运行Windows 7和Windows 10。

硬件清单:

以下部分介绍了用于创建此Windows教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

Windows Playlist:

在此页面上,我们可以快速访问与Windows相关的视频列表。

不要忘记订阅我们命名的youtube频道 FKIT.

Windows相关教程:

在此页面上,我们提供了与Windows相关的教程列表的快速访问。

教程 - 配置对象审核GPO

首先,我们需要为整个域启用对象审核功能。

在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。

单击“开始”菜单,找到并打开“组策略管理”工具。

在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。

右键单击名为“默认域策略”的组策略对象,然后选择“编辑”选项。

Default Domain Policy

在组策略编辑器屏幕上,您将看到用户配置和计算机配置。

我们只会更改计算机配置。

我们不需要更改任何用户配置。

在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。

•计算机配置>策略> Windows设置>安全设置>本地策略>审核策略

GPO Audit Policy

在右侧,将显示可用配置选项列表。

Windows 2012 audit deleted objects

双击名为“Audit Object Access”的配置项。

启用以下安全设置:

•定义这些策略设置
•成功
•失败

Audit Object Access Properties

要完成组策略创建,您需要关闭“组策略编辑器”窗口。

仅当您关闭组策略窗口时,系统才会保存您的配置。

教程 - 启用对象审核GPO

现在,我们需要在所需的文件和文件夹上启用对象审核功能。

在我们的示例中,我们将在名为TECHEXPERT的文件夹上启用对象审计。

首先,创建一个名为TECHEXPERT的文件夹。

其次,右键单击该文件夹,然后选择“属性”选项。

Windows Object Audit folder

在“属性”屏幕上,访问“安全”选项卡,然后单击“高级”按钮。

Windows audit deleted files- Security advanced

在“高级安全性设置”屏幕上,访问“审核”选项卡,然后单击“添加”按钮。

Windows object add auditing

在新屏幕上,单击“选择主体”选项。

Auditing entry file object

输入名为Everyone的组,然后单击“确定”按钮。

Add group everyone

执行以下配置:

•类型 - 全部

•适用于 - 此文件夹,子文件夹和文件

Audit deleted files windows

在“高级权限”区域中,单击“显示高级权限”选项。

Windows Audit object basic permissions

在“高级权限”区域中,仅启用以下选项:

•删除子文件夹和文件。
•删除。

Windows audit deleted file and folders

单击“确定”按钮关闭Windows。

单击“确定”按钮。

单击“确定”按钮。

重新启动计算机以启用对象审核组策略。

在我们的示例中,我们将对象审计启用到名为TECHEXPERT的文件夹。

您已完成所需的对象审核配置。

教程 - 谁删除了我的文件?

您已完成GPO的创建。

但是,您仍然需要了解如何发现谁删除了您的文件。

在我们的示例中,我们将向您展示检测谁删除文件所需的所有步骤。

首先,让我们在TECHEXPERT文件夹中创建一个名为TEST.TXT的文本文件。

Windows audit deleted file

现在,删除TEST.TXT文件。

打开Windows事件查看器应用程序。

在“事件查看器”屏幕上,展开“Windows日志”,然后选择“安全性”选项。

Event Viewer

右键单击“安全日志”,然后选择“查找”选项。

输入已删除文件的名称,然后单击“查找”按钮。

Windows log find deleted files

您将找到一个事件查看器ID 4663,其中包含已删除文件的详细信息。

Windows who deleted my file

在我们的示例中,我们检测到管理员删除了TEST.TXT文件。