Détecter qui a supprimé un fichier sur Windows Server nécessite l'activation des stratégies d'audit. Voici comment configurer l'audit et identifier l'utilisateur responsable de la suppression :

1. Activer l'audit :

- Ouvrez l'éditeur de stratégie de groupe local (gpedit.msc).

- Accédez à « Politique de l'ordinateur local> Configuration de l'ordinateur> Paramètres Windows> Paramètres de sécurité> Configuration avancée de la politique d'audit ».

- Sous « Accès aux objets », activez les options d'audit suivantes :

- "Audit du système de fichiers"

- "Partage de fichiers d'audit"

- "Accès au service d'annuaire d'audit"

- Cliquez sur "Appliquer" puis sur "OK" pour activer l'audit.

2. Vérifiez les journaux de l'Observateur d'événements :

- Ouvrez l'Observateur d'événements (Eventvwr.msc) sur le serveur Windows.

- Développez « Journaux Windows> Sécurité ».

- Filtrez les journaux de sécurité par l'ID d'événement "4663" (Objet supprimé).

3. Analysez les détails de l'événement :

- Double-cliquez sur l'événement "Objet supprimé" concerné.

- Dans les détails de l'événement, recherchez les champs suivants :

- « Utilisateur » :Le compte utilisateur ayant effectué la suppression.

- « Ordinateur » :L'ordinateur sur lequel le fichier a été supprimé.

- « Chemin du fichier cible » :Le chemin complet du fichier supprimé.

- "Nom du fichier" :Le nom du fichier qui a été supprimé.

En combinant ces étapes, vous pouvez détecter qui a supprimé un fichier sur Windows Server grâce aux événements de stratégie d'audit enregistrés dans les journaux de l'Observateur d'événements.

Article précédent： Comment créer une clé USB amorçable UEFI Installer Windows
Article suivant： Comment modifier le profil réseau (emplacement) public ou privé sous Windows