Come rilevare chi ha eliminato un file su Windows Server con criteri di controllo

Per rilevare chi ha eliminato un file su Windows Server è necessario abilitare i criteri di controllo. Ecco come impostare il controllo e individuare l'utente responsabile dell'eliminazione:

1. Abilita controllo:

- Apri l'editor dei criteri di gruppo locali (gpedit.msc).

- Vai a "Criteri del computer locale> Configurazione del computer> Impostazioni di Windows> Impostazioni di sicurezza> Configurazione avanzata dei criteri di controllo".

- In "Accesso agli oggetti", abilita le seguenti opzioni di controllo:

- "Controlla il file system"

- "Controlla condivisione file"

- "Controlla l'accesso al servizio directory"

- Fare clic su "Applica" e quindi su "OK" per abilitare il controllo.

2. Controlla i registri del Visualizzatore eventi:

- Aprire il Visualizzatore eventi (Eventvwr.msc) sul server Windows.

- Espandi "Registri di Windows> Sicurezza".

- Filtra i registri di sicurezza in base all'ID evento "4663" (Oggetto eliminato).

3. Analizza i dettagli dell'evento:

- Fare doppio clic sull'evento "Oggetto eliminato" pertinente.

- Nei dettagli dell'evento cerca i seguenti campi:

- "Utente":l'account utente che ha eseguito la cancellazione.

- "Computer":il computer da cui è stato eliminato il file.

- "Percorso file di destinazione":il percorso completo del file eliminato.

- "Nome file":il nome del file che è stato eliminato.

Combinando questi passaggi, puoi rilevare chi ha eliminato un file su Windows Server tramite gli eventi dei criteri di controllo registrati nei registri del Visualizzatore eventi.

• Come creare un'unità USB avviabile UEFI Installa Windows 
• Come modificare il profilo di rete (posizione) pubblico o privato su Windows