个人在工作上,有用一个小设定,
专门用来抓删挡不承认的人,
gpedit.msc
电脑设定\Windows设定\安全性设定\本机原则\稽核原则,
将稽核物件存取中的成功/失败勾选以启用稽核。
要检查的资料夹按右键\内容\安全性\进阶\稽核,
按新增加入要稽核的可疑帐号,
或是输入Everyone进行无差别稽核。
勾选"删除子资料夹或档案" "删除"
这两项的"成功" "失败"
完成后事件检视器的安全性就会出现删除的纪录,
可以看出哪个帐号删除的。如果纪录太多,
加入以下条件会比较好查。
事件来源 "security"
类别 "物件存取"
事件识别码 "560"
当有人在你设定好稽核的目录资料夹删除档案,
就会被记录下来。
一些死不承认的嫌疑犯就没话好说了~
用这招抓过不少次...
我都在看删除的,不过异动好像也有记录,
原PO可以试试看,
如果你是用Windows系统的储存方式的话
※ 引述《ARIWARA (この关系が﹑私の酸素。)》之铭言:
: 工作地点发生有人将旧档案覆蓋掉正确版本的档案
: 业务负责人询问是谁作的 结果自然没人承认
: 因此负责人在私下询问说 是否有这样的软件
: 可以查出最后是什么人修改档案
: 先谢谢回复的板友