Å oppdage hvem som har slettet en fil på Windows Server krever aktivering av revisjonspolicyer. Slik setter du opp revisjon og identifiserer brukeren som er ansvarlig for slettingen:

1. Aktiver revisjon:

- Åpne redigeringsprogrammet for lokal gruppepolicy (gpedit.msc).

- Gå til "Lokal datamaskinpolicy> Datamaskinkonfigurasjon> Windows-innstillinger> Sikkerhetsinnstillinger> Avansert revisjonspolicykonfigurasjon".

- Under «Objekttilgang» aktiverer du følgende revisjonsalternativer:

- "Revisjonsfilsystem"

- "Revisjonsfildeling"

- "Tilgang til revisjonskatalogtjeneste"

- Klikk "Bruk" og deretter "OK" for å aktivere revisjon.

2. Sjekk hendelsesvisningslogger:

- Åpne Event Viewer (Eventvwr.msc) på Windows Server.

- Utvid "Windows Logger> Sikkerhet".

- Filtrer sikkerhetsloggene etter hendelses-ID "4663" (objekt slettet).

3. Analyser hendelsesdetaljene:

- Dobbeltklikk på den aktuelle "Objekt slettet"-hendelse.

- Se etter følgende felt i hendelsesdetaljene:

- "Bruker":Brukerkontoen som utførte slettingen.

- "Datamaskin":Datamaskinen som filen ble slettet fra.

- "Target File Path":Den fullstendige banen til den slettede filen.

- "Filnavn":Navnet på filen som ble slettet.

Ved å kombinere disse trinnene kan du oppdage hvem som har slettet en fil på Windows Server gjennom revisjonspolicyhendelser registrert i Event Viewer-loggene.