Employez auditer pour dépister qui a supprimé vos dossiers
J'ai fait m'écrire à un lecteur il y a quelques jours :
… Je suis dans un environnement scolaire et un étudiant a supprimé quelques dossiers et je voudrais savoir je peux faire ceci dans le serveur de Win2k pour attraper ce surgeon. Svp conseil et plus de puissance à toi.
Ceci peut être accompli en auditant. Laisse le début dehors en identifiant quelle chemise nous voulons observer - et être soigneux où vous tournez auditer dessus… le tour il sur trop de chemises avec trop d'options et toi peut avoir les questions énormes d'exécution.
Nous trouvons la chemise que nous voulons, et le bon clic là-dessus et allons aux propriétés
Ceci apportera vers le haut la page de propriétés pour la chemise. Déplacez-vous plus d'à l'étiquette de sécurité, et cliquez sur le bouton avançé :
La page avançée paraîtra. Cliquez sur l'étiquette auditante, et cliquez le bouton d'ajouter :
Un dialogue d'utilisateur sera soulevé. J'ai choisi de mettre le « chacun » groupe ici. Ceci me permet d'auditer pour n'importe quel compte possible d'utilisateur qui peut supprimer des dossiers. Si vous pensez vous savez que qui il pourrait être… vous pourriez mettre ces utilisateurs ici à la place. La fenêtre plus petite des utilisateurs étant exécution auditée de moyens mieux.
Une fois que vous cliquez BIEN, une boîte de choix sera montrée. Encore - a choisi seulement les options que vous avez besoin. Chaque option additionnelle réduira l'exécution. Je sélectionne juste les options pour auditer supprimer des dossiers et des chemises
OK de clic par toutes les fenêtres vous avez ouvert. Si un utilisateur supprime un dossier ou une chemise Windows écrira un événement à la notation de sécurité.
Maintenant. Nous faisons allumer notre auditer, et vous obtenez de travailler un matin et de constater que les dossiers sont absents. Ouvrez simplement la visionneuse d'événement et déplacez-vous plus d'à la notation de sécurité. Recherchez l'identification 560 d'événement :
Le double clic sur l'événement, et toi devra se reposer là et le lire pour qu'un peu détermine qui a fait ce qui. Voici un extrait du mien (j'ai copié le texte de la visionneuse d'événement au bloc-notes pour une lecture plus facile)
Nous pouvons voir de cette entrée de notation que l'administrateur d'utilisateur a supprimé le dossier setuperr.log
Maintenant où quelqu'un supprime un dossier, vous n'aurez aucune détermination de problème qui l'a faite.
If you have a windows administration question, or an idea for a utility please send me an email at support@intelliadmin.com. I can't promise that I will answer every email, but I try to read them all.Popularity: 17%
Written by Steve Wiseman. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
