Um zu erkennen, wer eine Datei auf Windows Server gelöscht hat, müssen Überwachungsrichtlinien aktiviert werden. So richten Sie die Überwachung ein und ermitteln den für die Löschung verantwortlichen Benutzer:
1. Überwachung aktivieren:
- Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc).
- Gehen Sie zu „Lokale Computerrichtlinie> Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Erweiterte Überwachungsrichtlinienkonfiguration“.
- Aktivieren Sie unter „Objektzugriff“ die folgenden Überwachungsoptionen:
- „Dateisystem prüfen“
- „Dateifreigabe prüfen“
- „Verzeichnisdienstzugriff prüfen“
- Klicken Sie auf „Übernehmen“ und dann auf „OK“, um die Überwachung zu aktivieren.
2. Überprüfen Sie die Protokolle der Ereignisanzeige:
- Öffnen Sie die Ereignisanzeige (Eventvwr.msc) auf dem Windows-Server.
- Erweitern Sie „Windows-Protokolle> Sicherheit“.
– Filtern Sie die Sicherheitsprotokolle nach der Ereignis-ID „4663“ (Objekt gelöscht).
3. Analysieren Sie die Ereignisdetails:
- Doppelklicken Sie auf das entsprechende Ereignis „Objekt gelöscht“.
- Suchen Sie in den Veranstaltungsdetails nach den folgenden Feldern:
- „Benutzer“:Das Benutzerkonto, das den Löschvorgang durchgeführt hat.
- „Computer“:Der Computer, von dem die Datei gelöscht wurde.
- „Zieldateipfad“:Der vollständige Pfad zur gelöschten Datei.
- „Dateiname“:Der Name der Datei, die gelöscht wurde.
Durch die Kombination dieser Schritte können Sie mithilfe von Überwachungsrichtlinienereignissen, die in den Protokollen der Ereignisanzeige aufgezeichnet werden, erkennen, wer eine Datei auf Windows Server gelöscht hat.
