使用驗核跟蹤誰刪除了您的文件
我讓一個讀者寫我幾天前:
…我是在學校環境裡,并且學生刪除了有些文件,并且我希望知道怎麼我可以做此在Win2k服務器捉住這個吮吸者。 忠告和請更多力量對您。
這可以是成功的通過驗核。 讓通過辨認什麼開始文件夾我們想要觀看-和是仔細您轉動驗核…輪它在許多文件夾以許多選擇的地方和您可能有巨大的性能問題。
我們發現我們要的文件夾和用鼠標右鍵單擊對此并且去物產
這將培養物產頁為文件夾。 移過去向安全製表符,并且點擊先進的按鈕:
先進的頁將出版。 點擊驗核的製表符,并且點擊增加按鈕:
用戶對話將出來。 我選擇這裡投入「大家」小組。 這允許我為也許刪除文件的所有可能的用戶帳號驗核。 如果您認為您知道誰它也許是…您可能這裡投入那些用戶改為。 用戶更小的窗口是被驗核的手段更好表現。
一旦您點擊OK,選擇箱子將被顯示。 再-選擇了您需要仅的選擇。 每個另外的選擇將減少表現。 我採摘選擇驗核刪除文件和文件夾
點擊OK通過所有窗口您有開放。 如果用戶刪除文件或文件夾窗口給安全日誌將寫一個事件。
現在。 我們安排我們驗核打開,并且您得到工作一個早晨和發現文件是缺掉的。 簡單地打開事件觀察者并且移過去向安全日誌。 尋找事件ID 560 :
雙擊在事件,并且您將需要坐那裡和讀它為稍微確定誰做了什麼。 這節錄從我的(我複製了文本從事件觀察者到筆記薄為更加容易的讀書)
我們能從這日誌項看用戶管理員刪除了文件setuperr.log
現在,當某人刪除文件時,您不會有問題確定誰做了它。
If you have a windows administration question, or an idea for a utility please send me an email at support@intelliadmin.com. I can't promise that I will answer every email, but I try to read them all.Popularity: 18%
Written by Steve Wiseman. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
