Ordner gelöscht SBS 2003

09/07/2008 - 17:55 von Alexander | Report spam
Hallo,

ich habe das Problem das ein User bei uns auf dem Netzlaufwerk Ordner
gelöscht hat. Dank Datensicherung war alles schnell wieder da. Nun wollte
ich trotzdem wissen ob man irgendwie herausfinden kann wer dies war.

Ich habe schon im Ereignisprotokoll geschaut aber leider nix gefunden.


Es handelt sich hierbei um einen SBS 2003 R2 mit SP2.
Die Workstations laufen mit XP.

Ich bin für jeden Tipp dankbar.
 

Lesen sie die antworten

#1 Jens Klein
10/07/2008 - 12:02 | Warnen spam
Hallo Alexander,

ich habe das Problem das ein User bei uns auf dem Netzlaufwerk Ordner
gelöscht hat. Dank Datensicherung war alles schnell wieder da. Nun wollte
ich trotzdem wissen ob man irgendwie herausfinden kann wer dies war.

Ich habe schon im Ereignisprotokoll geschaut aber leider nix gefunden.



Liegen die Ordner auf der selben Partition wie der User Shard Folder?
Wenn ja, dann kannst Du über die Netzwerkumgebung in die Freigabe auf den
übergeordneten Ordner gehen, wo die gelöschten Daten drin waren.
Dann Ordner-Eigenschaften/Reiter Vorherige Versionen. Unter dem Button
Anzeigen kannst Du den gelöschten Ordner sehen und mit Drag 'd Drop in den
ursprünglichen Ordner (der vielleicht in einem Windows Explorer-Fenster
offen ist) packen. Schon sind alle Daten in Sekunden wieder da, ganz ohne
Sicherungsbànder.
Wenn Du den Reiter Vorherige Versionen nicht siehst, hat jemand die
Schattenkopien deaktiviert.
Wenn die Daten auf einer anderen Partition liegen hast, und dort nicht extra
die Schattenkopien aktiviert hast, sind natürlich auch nicht da.

Zurück zu Deiner eigentlichen Frage:
Die Überwachung musst Du an zwei Stellen aktivieren:
1. In der GPO Default Domain Controller Policy, da steht normal beim SBS:
Objektzugriffsversuche überwachen: Keine Überwachung
Du musst auf Erfolgreich (-es löschen überwachen) umschalten.
2. In den Eigenschaften der zu überwachenden Freigabe/Ordner unter
Sicherheit/Erweitert/Überwachung die Benutzergruppe Hinzufügen, die Du
überwachen willst. Alle=Domànen-Benutzer. Dann noch Unterordner und Dateien
löschen + Löschen auswàhlen.
Dann kommt die Kür:
In der Ereignissanzeige im Protokoll Sicherheit nach den entscheidenden
Eintràgen suchen. Dazu am besten selber testen (erstellen + löschen) und
dann die neusten Eintràge ansehen, bist Du die ID herausbekommen hast, die
Dir Datei und Usernamen anzeigt.
Nicht wundern. Eine Aktion erzeugt viele Eintràge, nur einer ist brauchbar.

Grüße,
Jens

Ähnliche fragen