個人在工作上,有用一個小設定,
專門用來抓刪擋不承認的人,
gpedit.msc
電腦設定\Windows設定\安全性設定\本機原則\稽核原則,
將稽核物件存取中的成功/失敗勾選以啟用稽核。
要檢查的資料夾按右鍵\內容\安全性\進階\稽核,
按新增加入要稽核的可疑帳號,
或是輸入Everyone進行無差別稽核。
勾選"刪除子資料夾或檔案" "刪除"
這兩項的"成功" "失敗"
完成後事件檢視器的安全性就會出現刪除的紀錄,
可以看出哪個帳號刪除的。如果紀錄太多,
加入以下條件會比較好查。
事件來源 "security"
類別 "物件存取"
事件識別碼 "560"
當有人在你設定好稽核的目錄資料夾刪除檔案,
就會被記錄下來。
一些死不承認的嫌疑犯就沒話好說了~
用這招抓過不少次...
我都在看刪除的,不過異動好像也有記錄,
原PO可以試試看,
如果你是用Windows系統的儲存方式的話
※ 引述《ARIWARA (この關係が﹑私の酸素。)》之銘言:
: 工作地點發生有人將舊檔案覆蓋掉正確版本的檔案
: 業務負責人詢問是誰作的 結果自然沒人承認
: 因此負責人在私下詢問說 是否有這樣的軟體
: 可以查出最後是什麼人修改檔案
: 先謝謝回覆的板友