» Как узнать кто удалил общую папку в сети?

Пожалуйста, срочно.
Кто то из сотрудников удалил общую папку на сервере Winows 2003. Сеть обычный workgroup.

Но кто то удалил эту папку. теперь как я могу узнать кто это сделал?

Цитата:

теперь как я могу узнать кто это сделал?

Если не был настроен аудит, то уже вряд ли. Хотя... паяльник (утюг) - ключ ко многим секретам.

Без аудита никак.

На будущее:
Start -> Run... -> secpol.msc -> Local Policies -> Audit Options -> Audit object access -> нужный тип аудита.

Потом в свойствах шары Properties -> Security -> Advanced -> Auditing -> добавляете тех, кого надо (если всех, то Everyone) и галочками указываете действия, которые будут подлежать аудиту. Логи смотреть в журнале Security. (с)Camelot

Совет на будущее - на файловых серверах ставь undelete server edition. В свое время она была бесплатна.

Такой вопрос можно ли ограничить создание и запись в сетевую папку определённых фалов (ну скажем МР3,РАР....и.т.д) ?

hhhpost
такая возможность появилась в w2k3 R2, оснастку для управления нужно доустанавливать из установки/удаления программ

в 90е это решалось утюгом

Цитата:

оснастку для управления нужно доустанавливать из установки/удаления программ

а можно по подробное?

Нужно поставть Windows Server 2003 R2, в нём появился компонент, позволяющий ограничивать размер директории. Также можно запретить записывать файлы с определёнными расширениями, например, видео и аудио.

вроде добавил в политике аудита галочки чтоб отслеживало удаление папок и файлов
но в журнале что то не вижу чтобы события показывались

та же пробелема, событий по данной шаре в аудите нет !

Цитата:

Без аудита никак.
 
На будущее:
Start -> Run... -> secpol.msc -> Local Policies -> Audit Options -> Audit object access -> нужный тип аудита.
 
Потом в свойствах шары Properties -> Security -> Advanced -> Auditing -> добавляете тех, кого надо (если всех, то Everyone) и галочками указываете действия, которые будут подлежать аудиту. Логи смотреть в журнале Security. (с)Camelot

сделал все так, в политике выставил "Аудит доступа к обьектам - Успех" на папке аудит - "Удаление подпапок и файлов" удаляю из папки файл в журнале Безопасноть пишет всякий бред вида

Тип события:    Аудит успехов
Источник события:    Security
Категория события:    Доступ к объектам
Код события:    560
Дата:        07.11.2011
Время:        16:20:12
Пользователь:        server\admin
Компьютер:    server
Описание:
Объект открыт:
    Сервер объекта:    Security
    Тип объекта:    Key
    Имя объекта:    \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Security
    Код дескриптора:    1228
    Код операции:        {1,3390699496}
    Код процесса:    5064
    Имя файла рисунка:    C:\WINDOWS\system32\mmc.exe
    Основной пользователь:    admin
    Основной домен:    SERVER
    Основной код входа:    (0x0,0x2E9A4)
    Пользователь-клиент:    -
    Домен клиента:    -
    Код входа клиента:    -
    Доступ:        Задание значения раздела
            
    Привилегии    -
    Ограничения:    0
    Маска доступа:    0x2


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

какую папку удалили нигде не пишется, и кто удалил тоже. Что еще настроить надо?

Есть похожий пример на Powershel