iT邦幫忙

0

AP-Server 檔案歷程

  • 分享至 

  • xImage

各位先進好 ,

目前公司是架設AP-server 內網 全公司的使用者 共用資料夾
因為有些人事問題 惡意被刪除資料
想要調閱是哪一個使用者 刪除檔案或文件 時間點

版本應該是
Windows Server 2008

謝謝

資料匣有開稽核功能嗎??
1. 在伺服器先用 恢復檔案恢復軟體掃一下整個硬碟
2. 接著看一下檔案的被刪除時間
3. 確認一下那個時間最有可能刪除檔案的人
4. 如果用的是硬碟不是SSD,外接一個硬碟,看能不能直接恢復被刪除的檔案
大致上這樣,之後排程備份,要記得被刪除的檔案要另存,不要直接同步砍掉,
備份很重要,通常刪除重要儲存區檔案的恢復,都要能夠馬上在最近的備份紀錄中找回來
如果沒有規劃備份備援策略,樓主該盡快進行,避免再發生這種惡意刪除檔案的問題
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
copemoe
iT邦好手 4 級 ‧ 2024-05-24 15:42:02

幫你問AI的 可以試試看

在 Windows Server 2008 上,您可以通過啟用和配置審計功能來跟踪文件和文件夾的訪問和修改,包括刪除操作。以下是具體步驟:

1. 啟用文件和文件夾審計
首先,您需要在 Windows Server 2008 上啟用文件和文件夾審計:

打開「本地安全策略」控制台

點擊「開始」菜單,選擇「控制面板」。
打開「管理工具」。
雙擊「本地安全策略」。
配置審計策略

在「本地安全策略」控制台中,展開「本地策略」並選擇「審計策略」。
在右側窗格中,找到並雙擊「審計對象訪問」。
選擇「成功」和「失敗」選項,然後點擊「確定」。
2. 配置文件或文件夾的審計
接下來,您需要配置特定文件或文件夾的審計設置:

打開 Windows 資源管理器,找到您要審計的文件夾。

右鍵點擊文件夾,選擇「屬性」。

在「屬性」窗口中,切換到「安全」選項卡,然後點擊「高級」。

在「高級安全設置」窗口中,切換到「審計」選項卡,然後點擊「添加」。

選擇用戶或組

在「選擇用戶或組」窗口中,點擊「高級」。
點擊「立即查找」,然後選擇「Everyone」或特定的用戶或組,點擊「確定」。
配置審計條件

在「審計條件」窗口中,選擇「成功」和「失敗」選項,然後選擇您要審計的權限,例如「刪除」、「刪除子文件夾和文件」等。
點擊「確定」,然後多次點擊「確定」以應用更改。
3. 查看審計日誌
最後,您可以通過事件查看器查看審計日誌:

打開「事件查看器」

點擊「開始」菜單,選擇「控制面板」。
打開「管理工具」。
雙擊「事件查看器」。
查看安全日誌

在「事件查看器」中,展開「Windows 日誌」,選擇「安全」。
在右側窗格中,您可以看到所有的安全事件日誌。查找與文件或文件夾訪問相關的事件 ID,例如:
4660:已刪除對象。
4663:已嘗試訪問受保護的文件或文件夾。
過濾事件

您可以通過點擊右側窗格中的「篩選當前日誌」來過濾事件。輸入特定的事件 ID 來更快找到相關事件。
阿摔 iT邦新手 4 級 ‧ 2024-05-24 16:08:33 檢舉

這個我記得只能事前添加

1
IT 癡
iT邦高手 1 級 ‧ 2024-05-24 16:31:13

現在要做,應該已來不及了

我要發表回答

立即登入回答