[2000] Achterhalen wie map heeft verwijderd* - Windows clients

woensdag 10 maart 2004 09:49

Acties:

Verwijderd

Topicstarter

Ik zit hier op m'n werk met een Windows 2000 Server en nu heeft een van de werknemers (vermoed ik) gisteren een mapje verwijderd.

Ik heb 'm toen meteen weer terug gezet vanaf de backup. Maar nu kijk ik vanmorgen weer en nu is het mapje weer weg! Nu vroeg ik me af als ik ergens in een log ofzo kan kijken wie (computernaam, usernaam, ip) dit bestandje heeft verwijderd, of als daar ook bepaalde tools voor zijn.

Alvast Bedankt!

woensdag 10 maart 2004 09:50

Acties:

Grolsch

Verwijderd schreef op 10 maart 2004 @ 09:49:
Ik zit hier op m'n werk met een Windows 2000 Server en nu heeft een van de werknemers (vermoed ik) gisteren een mapje verwijderd.

Ik heb 'm toen meteen weer terug gezet vanaf de backup. Maar nu kijk ik vanmorgen weer en nu is het mapje weer weg! Nu vroeg ik me af als ik ergens in een log ofzo kan kijken wie (computernaam, usernaam, ip) dit bestandje heeft verwijderd, of als daar ook bepaalde tools voor zijn.

Alvast Bedankt!

dan moet je auditing aan zetten!

PVOUPUT - 13.400WP - Twente

woensdag 10 maart 2004 09:50

Acties:

DeeJee

Dus...

Ik zou maar eens gaan auditten als ik jou was.

Money for nothin' and your chicks for free

woensdag 10 maart 2004 10:02

Acties:

mutsje

Certified Prutser

bij computer configuration > windows settings > local policies > audit policy volgende audits aanzetten.

Audit account logon events Succes & Failure
Audit logon events Succes & Failure
Audit policy change Succes & Failure
Audit system events Succes & Failure

Dit zou in principe genoeg moeten zijn. Als je object access aan gaat zetten en dan de directory gaat monitoren om te achterhalen wie de folder delete zorg dan wel dat je de logfile size verhoogt naar iets van 8mb omdat object access enorm veel events genereerd.

woensdag 10 maart 2004 10:16

Acties:

elevator

Officieel moto fan :)

Kleine titel edit zodat het OS in je topic titel staat

woensdag 10 maart 2004 10:20

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Als dit soort zaken vaker voorkomen dan kun je ook een product als Undelete Server van Executive Software overwegen. Die vervangt de 'prullenbak' van je fileserver door een geavanceerde waaruit je bestanden die vie het netwerk verwijderd zijn terug kunt zetten.

Uiteraard zie je dan ook meteen wie het bestand heeft verwijderd (of overschreven als het bijvoorbeeld een Office-applicatie is) en wanneer dat gebeurde. Bijkomend voordeel is dat het terugzetten van een backup met een klik gebeurd is.

Als ik me niet vergis kost het iets van € 300 per server.

[ Voor 8% gewijzigd door Jazzy op 10-03-2004 10:21 ]

Exchange en Office 365 specialist. Mijn blog.

woensdag 10 maart 2004 10:41

Acties:

Verwijderd

Topicstarter

Hey toppie, thanx! $_/-\o_$

woensdag 10 maart 2004 11:03

Acties:

Verwijderd

Jazzy schreef op 10 maart 2004 @ 10:20:
Als dit soort zaken vaker voorkomen dan kun je ook een product als Undelete Server van Executive Software overwegen. Die vervangt de 'prullenbak' van je fileserver door een geavanceerde waaruit je bestanden die vie het netwerk verwijderd zijn terug kunt zetten.

Uiteraard zie je dan ook meteen wie het bestand heeft verwijderd (of overschreven als het bijvoorbeeld een Office-applicatie is) en wanneer dat gebeurde. Bijkomend voordeel is dat het terugzetten van een backup met een klik gebeurd is.

Als ik me niet vergis kost het iets van € 300 per server.

of win2k3 met shadowcopies gaan gebruiken.

overigens moet je object access auditen op de plaats waar mutsie zei en op de resource aanzetten (restrict dat anders wordt je gek

). edit: hmmm dat zei muts al

[ Voor 5% gewijzigd door Verwijderd op 10-03-2004 11:04 ]