مدیریت بر تغییرات در پوشه و فایل ها در سرور
از کجا بفمیم چه کسی پوشه ها را در فایل سرور حذف کرده است
از کجا بفمیم چه کسی پوشه ها را در فایل سرور کپی کرده است
از کجا بفمیم چه کسی پوشه ها را در فایل سرور ویرایش کرده است
از کجا بفمیم چه کسی پوشه ها را در smb server ایجاد کرده است
روزانه هر آنچه در هر ویندوز سرور تغییر کرده و چه اتفاقی افتاده است را به ما نشان دهد
در گروپ پالیسی اینا را اول فعال کنید
Setting up file system auditing
- Navigate to the file share, right-click it and select “Properties” → Select the “Security” tab → Click the “Advanced” button → Go to the “Auditing” tab → Click the “Add” button → Select the following:
- Principal: “Everyone”
- Type: “All”
- Applies to: “This folder, subfolders and files”
- Advanced Permissions: “Delete subfolders and files” and “Delete”
- Run the Group Policy editor (gpedit.msc) and create and edit a new GPO. Specifically, go to → Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy, and setup as following:
- Audit object access → Define → Success and Failures.
- Go to “Advanced Audit Policy Configuration” → Audit Policies → Object Access, and setup as following:
- Audit File System → Define → Success and Failures
- Audit Handle Manipulation → Define → Success and Failures
-
مدیریت بر تغییرات در پوشه و فایل ها در سرور
- Link the new GPO to your file server.
- Apply your change by forcing a Group Policy update: Go to “Group Policy Management” → Right-click the OU → Click “Group Policy Update”.
- pen the Event Viewer and search the security log for event ID 4656 with a task category of “File System” or “Removable Storage” and the string “Accesses: DELETE”.
- Review the report. The “Subject: Security ID” field will show who deleted each file.
-
برنامه Directory Monitor هم میشه استفاده بشه که همین گزارشات رو میده در مورد فایل یا فولدری که براش تعریف میکنید.
share در ویندوز سرور| اشتراک گذاری
مدیریت بر تغییرات در پوشه و فایل ها در سرور