Как узнать что удалял пользователь на компьютере
Windows server 2012 r2 как посмотреть кто удалил файл + видео обзор
Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell
Начнем.
А теперь очень интересный скрипт.
Рекомендации
Аудит удаления файлов в сетевой папке на Windows Server
Включаем политику аудита доступа к файлам и папкам в Windows
Настройка аудита событий удаления файлов из конкретной папки
После настройки аудита, найдите в журнале Security вы сможете найти с:
Запись событий удаления файлов в SQL базу (MySQL/MSSQL)
MySQL запрос на создание такой таблицы будет выглядеть так:
В результате в консоли PS появится имя пользователя и время удаления файла.
Запись информации о событиях удаления файлов в текстовый файл
Управление открытыми файлами на файловом сервере Windows (SMB)
Вывод списка открытых файлов в сетевой папке Windows
Определяем пользователя, который открыл файл в сетевой папке с помощью Openfiles
Openfiles /Query /s mskfs01 /fo csv | find /i «cons. adm»
Openfiles /Query /s mskfs01 /fo csv | find /i «farm»| find /i «xlsx»
Как принудительно закрыть открытый файл в Windows?
Openfiles /Query /s mskfs01 /fo csv | find /i «farm»| find /i «.xlsx»
Openfiles /Disconnect /s mskfs01 /ID 67109098
Get-SMBOpenFile: вывод списка открытых по сети файлов в PowerShell
Для вывода полного списка открытых файлов на сервере, выполните команду:
Команда возвращает ID файла, ID сессии и полное имя файла.
Можно вывести все файлы, открытые определенным пользователем:
Get-SMBOpenFile –ClientUserName «corp\aaivanov» |select ClientComputerName, Path
Или с определенного компьютера (сервера):
Get-SMBOpenFile –ClientComputerName 192.168.12.170| select ClientUserName, Path
Но обычно удобнее закрыть файл по имени:
Как удаленно закрыть открытые SMB файлы с помощью PowerShell?
$sessn = New-CIMSession –Computername mskfs01
Я что-то запутался… Опишите проблему точнее, какой-то сумбур получился 🙂
В общем, дочитал комментарии и увидел ответ.
Get-SmbOpenFile | where
Как узнать что удалял пользователь на компьютере
Как узнать кто установил программу и когда
Далее идет сообщение с кодом ID 10000.
Завершается сеанс событием с кодом ID 10001
Иногда вы можете увидеть событие с ID 1033.
Автоматизация оповещения по событиям 11707
В результате вы получите письмо вот такого содержания:
Как найти события установки программ не методом MsiInstaller
Как узнать кто удалил программу с сервера или компьютера
Дополнительно
- https://social. technet. microsoft. com/wiki/contents/articles/32412.powershell-how-to-detect-who-installed-what-software-on-your-windows-server-in-real-time. aspx
- https://www. netwrix. com/how_to_detect_software_installations. html
Популярные Похожие записи:
2 Responses to Узнаем кто удалил или установил программу в Windows
Добавить комментарий Отменить ответ
Поиск по сайту
Подписка на youtube канал
Выберите рубрику
Последние записи
Источники:
Https://altarena. ru/windows-server-2012-r2-kak-posmotret-kto-udalil-fayl/
Https://pyatilistnik. org/uznaem-kto-udalil-ili-ustanovil-programmu/