Registrering af, hvem der har slettet en fil på Windows Server kræver aktivering af revisionspolitikker. Sådan konfigurerer du revision og udpeger den bruger, der er ansvarlig for sletningen:

1. Aktiver revision:

- Åbn den lokale gruppepolitikeditor (gpedit.msc).

- Gå til "Lokal computerpolitik> Computerkonfiguration> Windows-indstillinger> Sikkerhedsindstillinger> Avanceret revisionspolitikkonfiguration".

- Under "Objektadgang" skal du aktivere følgende revisionsmuligheder:

- "Revisionsfilsystem"

- "Revision fildeling"

- "Audit Directory Service Access"

- Klik på "Anvend" og derefter "OK" for at aktivere revision.

2. Tjek Event Viewer-logfiler:

- Åbn Event Viewer (Eventvwr.msc) på Windows Server.

- Udvid "Windows-logfiler> Sikkerhed".

- Filtrer sikkerhedslogfilerne efter hændelses-id'et "4663" (objekt slettet).

3. Analyser begivenhedsdetaljerne:

- Dobbeltklik på den relevante "Objekt slettet" begivenhed.

- I begivenhedsdetaljerne skal du se efter følgende felter:

- "Bruger":Den brugerkonto, der udførte sletningen.

- "Computer":Computeren, hvorfra filen blev slettet.

- "Target File Path":Den fulde sti til den slettede fil.

- "Filnavn":Navnet på den fil, der blev slettet.

Ved at kombinere disse trin kan du registrere, hvem der har slettet en fil på Windows Server gennem revisionspolitikhændelser, der er registreret i Event Viewer-logfilerne.