So erfahren Sie, wer eine Datei auf Windows 2012 Server gelöscht hat: Anweisungen und Tipps

Das Löschen von Dateien auf Windows 2012 Server kann zum Verlust wichtiger Daten führen und zu vielen Unannehmlichkeiten führen. Wenn Sie herausfinden möchten, wer die Datei gelöscht hat, müssen Sie einige Anweisungen befolgen und spezielle Werkzeuge verwenden.

Der einfachste Weg, um herauszufinden, wer die Datei gelöscht hat, besteht darin, die Ereignisprotokolle zu überprüfen. Mithilfe von Ereignisprotokollen können Sie verschiedene Aktivitäten auf dem Server überwachen, einschließlich des Löschens von Dateien. Um Informationen zum Löschen einer Datei zu finden, öffnen Sie das Ereignisprotokoll über die Systemsteuerung, wählen Sie System und Sicherheit und dann Ereignisprotokolle aus. Suchen Sie im Abschnitt Ereignisprotokolle nach Ereignissen, die mit dem Löschen von Dateien zusammenhängen.

Eine andere Möglichkeit, herauszufinden, wer die Datei gelöscht hat, ist die Verwendung von Überwachungstools. Einige Überwachungsprogramme ermöglichen es Ihnen, die Aktivitäten von Benutzern auf dem Server zu überwachen, einschließlich des Löschens von Dateien. Sie können zusätzliche Informationen über Benutzeraktionen bereitstellen, z. B. die IP-Adresse, den Zeitpunkt des Löschens der Datei und den Benutzernamen.

Wenn Sie also herausfinden müssen, wer die Datei auf Windows 2012 Server gelöscht hat, gibt es mehrere Möglichkeiten, einschließlich der Überprüfung von Ereignisprotokollen und der Verwendung von Überwachungstools. Wählen Sie die bequemste Methode für Sie aus und verwenden Sie sie, um wichtige Daten wiederherzustellen und das erneute Löschen von Dateien zu verhindern.

Protokollieren des Löschens von Dateien in Windows 2012 Server

Windows 2012 Server bietet die Möglichkeit, die Löschaktionen von Dateien zu protokollieren, was zum Nachverfolgen und Analysieren von Änderungen am Serverdateisystem nützlich sein kann. Befolgen Sie die nachstehenden Anweisungen, um die Protokollierung für das Löschen von Dateien zu aktivieren:

1. Öffnen Sie die lokale Gruppenrichtlinie über das Startmenü.
2. Gehen Sie zu Computerkonfiguration -> Windows-Einstellungen -> Tracking -> Systemobjekte überwachen.
3. Doppelklicken Sie in der Liste der zu verfolgenden Objekte auf die Option "Löschen".
4. Wählen Sie die Option "Erfolgreich", wenn Sie nur die erfolgreichen Löschungen von Dateien protokollieren möchten. Sie können auch die Option "Fehlgeschlagen" auswählen, um die fehlgeschlagenen Löschversuche der Dateien zu protokollieren.
5. Klicken Sie auf "OK", um die Änderungen zu speichern.

Windows 2012 Server protokolliert jetzt die Löschaktionen von Dateien im Systemereignisprotokoll. Gehen Sie folgendermaßen vor, um das Ereignisprotokoll anzuzeigen:

1. Öffnen Sie Systemsteuerung -> Administrative Tools -> Ereignisprotokoll.
2. Wählen Sie "Windows Logs" im linken Bereich aus.
3. Wählen Sie dann "Security", um das Sicherheitsprotokoll anzuzeigen.
4. Blättern Sie durch die Ereignisliste, um Datensätze zu gelöschten Dateien zu finden. Beachten Sie die Ereignisse mit der ID 4663, die darauf hinweisen, dass die Datei gelöscht wird.
5. Klicken Sie mit der rechten Maustaste auf das Ereignis, um weitere Details und Details zur Löschaktion der Datei anzuzeigen.

Jetzt wissen Sie, wie Sie die Protokollierung zum Löschen von Dateien in Windows 2012 Server aktivieren und anzeigen können. Diese Funktion hilft Ihnen, den Zugriff und die Änderungen im Dateisystem des Servers zu überwachen und zu analysieren.

Überprüfen des Windows 2012 Server-Ereignisprotokolls

1. Öffnen Sie den Ereignismanager. Klicken Sie dazu mit der rechten Maustaste auf die Schaltfläche Start in der unteren linken Ecke des Bildschirms. Wählen Sie im Kontextmenü den Ereignismanager aus.
2. Suchen Sie im Ereignismanager nach dem Ordner "Windows-Protokolle". Erweitern Sie es und wählen Sie Sicherheit aus.
3. Wählen Sie im rechten Fensterbereich des Ereignismanagers die Option Aktueller Protokollfilter aus.
4. Legen Sie im geöffneten Fenster den Filter nach Ereignistyp "4660" fest. Dieses Ereignis gibt an, dass eine Datei oder ein Ordner gelöscht wird.
5. Klicken Sie auf "OK", um den Filter anzuwenden.
6. Im Fenster "Event Manager" werden alle auf dem Server aufgetretenen Datei- oder Ordnerlöschereignisse angezeigt.
7. Suchen Sie nach dem Löschereignis der Datei, an der Sie interessiert sind. In diesem Ereignis wird der Name des Benutzers angegeben, der die Löschung durchgeführt hat.

Mithilfe dieser Informationen aus dem Ereignisprotokoll können Sie feststellen, wer die Datei auf Windows 2012 Server gelöscht hat. Beachten Sie, dass das Ereignisprotokoll nur Informationen aus einem bestimmten Zeitraum speichert. Wenn also ein Ereignis vor langer Zeit aufgetreten ist, wird es möglicherweise bereits aus dem Protokoll gelöscht.

Um zu verhindern, dass Dateien ohne Ihre Erlaubnis gelöscht werden, sollten Sie die entsprechenden Sicherheitsrichtlinien und Berechtigungen auf dem Server konfigurieren. Sie können auch eine Software zur Überwachung von Benutzeraktivitäten installieren, die alle Löschereignisse von Dateien aufzeichnet und Ihnen detaillierte Informationen darüber gibt.

Beachten Sie, dass für diese Schritte Administratorrechte auf dem Server erforderlich sind.

Verwenden der Dateisystemüberwachung in Windows 2012 Server

Mit der Dateisystemüberwachung können Sie herausfinden, wer und wann Dateivorgänge unter Windows 2012 Server durchgeführt hat. Dies ist nützlich, wenn Sie den Zugriff auf wichtige Dateien überwachen und herausfinden möchten, wer die Datei gelöscht hat.

Befolgen Sie die nachstehenden Anweisungen, um die Dateisystemüberwachung in Windows 2012 Server zu verwenden:

1. Aktivieren Sie die Überwachung. Öffnen Sie dazu Systemsteuerung -> System und Sicherheit -> Administrative Tools -> Lokale Sicherheitsrichtlinie. Wählen Sie im geöffneten Fenster "Sicherheitsprüfung" -> "Überwachungseinstellungen festlegen" -> "Dateisystemobjekte überwachen". Aktivieren Sie die Option "Erfolgreich" oder "Fehlgeschlagen", um die Aktivitäten zu überwachen, die Sie überwachen möchten.
2. Konfigurieren der Überwachungsvererbung. Wenn Sie Dateivorgänge in einem bestimmten Ordner überwachen möchten, legen Sie die Überwachung auf diesen Ordner fest. Öffnen Sie dazu die Ordneroptionen, klicken Sie auf die Registerkarte "Sicherheit" und klicken Sie auf die Schaltfläche "Erweitert". Wählen Sie dann die Registerkarte "Überwachung" und klicken Sie auf die Schaltfläche "Hinzufügen". Geben Sie den gewünschten Benutzernamen oder die gewünschte Gruppe ein, wählen Sie den gewünschten Audit-Typ aus und klicken Sie auf "OK".
3. Überprüfen Sie die Überwachungsprotokolle. Nachdem Sie die Überwachung aktiviert und die Dateivorgänge ausgeführt haben, können Sie die Überwachungsprotokolle anzeigen. Öffnen Sie dazu Systemsteuerung -> System und Sicherheit -> Administrative Tools -> Ereignisprotokoll. Wählen Sie im Abschnitt "Anwendungs- und Dienstprotokolle" die Option "Sicherheitsprotokoll" aus. Hier können Sie Informationen über die ausgeführten Operationen und deren Darsteller sehen.

Mithilfe der Dateisystemüberwachung in Windows 2012 Server können Sie Dateivorgänge überwachen und herausfinden, wer die Datei gelöscht hat. Dies gibt Ihnen mehr Kontrolle über den Zugriff auf wichtige Daten und hilft Ihnen, die Sicherheit Ihrer Dateien zu gewährleisten.

Suchen nach zu löschenden Dateien in Schattenkopien in Windows 2012 Server

Befolgen Sie die folgenden Anweisungen, um in Schattenkopien nach zu löschenden Dateien in Windows 2012 Server zu suchen:

1. Öffnen Sie den Dateisystemexplorer.
2. Navigieren Sie zu dem Ordner, in dem sich die gelöschte Datei befand.
3. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie die Option "Frühere Versionen wiederherstellen".
4. Wählen Sie im sich öffnenden Fenster die gewünschte Schattenkopie der Datei aus.
5. Klicken Sie auf die Schaltfläche "Wiederherstellen" und wählen Sie den Speicherort aus, an den Sie die Datei wiederherstellen möchten.
6. Bestätigen Sie die Wiederherstellung der Datei.

Nachdem Sie diese Schritte ausgeführt haben, wird die zu löschende Datei aus der Schattenkopie auf Windows 2012 Server wiederhergestellt. Beachten Sie, dass Sie über die entsprechenden Berechtigungen und Zugriffsrechte auf dem Server verfügen müssen, um die Funktion "Volumeschattenkopien" verwenden zu können.

Die Verwendung von Schattenkopien in Windows 2012 Server ermöglicht das Speichern und Wiederherstellen gelöschter Dateien, vereinfacht die Datenwiederherstellung und verbessert die Sicherheit von Informationen.

Weitere Tipps zum Nachverfolgen des Löschens von Dateien auf Windows 2012 Server

1. Dateisystemüberwachung aktivieren

Mit der Dateisystemüberwachung können Sie die Aktivitäten von Benutzern mit Dateien und Ordnern auf dem Server überwachen. Befolgen Sie die folgenden Schritte, um die Überwachung zu aktivieren:

1. Öffnen Sie die Systemsteuerung und wählen Sie Verwaltung.
2. Gehen Sie zu "Lokale Sicherheitsrichtlinie" -> "Überwachungseinstellungen" -> "Objektüberwachung".
3. Aktivieren Sie die Option "Erfolgreich und fehlgeschlagen löschen" für Datei- und Ordnerobjekte.

2. Verwenden des Ereignisüberwachungsdiensts

Mit dem Ereignisüberwachungsdienst können Sie Ereignisprotokolle auf dem Server anzeigen, einschließlich Informationen zum Löschen von Dateien. Gehen Sie folgendermaßen vor, um diesen Dienst zu verwenden:

1. Klicken Sie auf Start und geben Sie Ereignisüberwachungsdienste ein.
2. Wählen Sie im geöffneten Fenster "Windows-Protokolle" -> "Sicherheit".
3. Verwenden Sie Ereignisprotokollfilter, um nach gelöschten Dateien zu suchen.

3. Verwendung von Software Dritter

Es gibt auch eine Software, die sich auf das Nachverfolgen von Änderungen an Dateien und Ordnern auf dem Windows 2012-Server spezialisiert hat. Diese Programme bieten erweiterte Überwachungs- und Benachrichtigungsfunktionen für alle Änderungen am Dateisystem.

Denken Sie daran, dass die Überwachung des Löschens von Dateien erhebliche Serverressourcen erfordern kann, daher sollten Sie die Notwendigkeit und die potenziellen Auslastungen des Systems sorgfältig prüfen, bevor Sie die Überwachung aktivieren.