Re: пропалив файлы Пользователи, как обычно, никогда ничего не делали Но следов не остается в директории, если была выполнена операция Move в пределах одного логического диска. Если с компом не работали активно, можно попробовать поискать информацию посекторно. Для этого, правда, придется вспомнить какие-то ключевые фразы. Ради эксперимента можно посмотреть, кто последний модифицировал "исчезнувшие" файлы там, где они нашлись. В одном месте мне пришлось даже логи включить на модификацию/стирание файлов, а то даже можно не спрашивать, что случилось -- "никто ничего не трогал"
Re: пропалив файлы ну как обычно никто ничего не трогал... как включаются логи на файлы? какая прога?
Re: пропалив файлы У меня в банке была похожая история... Расказывать долго, только суть. Девушка мувнула случайно каталог. Заметила ошибку, удалила каталог на новом месте и забыла про это. Потом ей понадобилось в этот каталог файл написать и она его создала заново. Девичья память коротка. В конце месяца начальство потребовало отчеты, которые делались из удаленных файлов. Девушка очень удивленная и разгневанная примчалась к нам. Первое, что мы сделали - попытались проверить каталог на удаленные файлы - пусто. В бекапах за этот месяц каталог практически пустой тоже. Насторожил меня факт полного отсутствия этого каталога в предпоследем бекапе. Отобрали у девочки диск, остались после работы, изей рековери восстановили ВСЕ удаленные файлы на диске, потом в системе глобальным поиском нашли файлы девушки в другом месте. Я до сих пор считаю, что нам просто повезло. Может у тебя что-то похожее?
Re: пропалив файлы возможно, но на диске ничего не находится человек увольняется, точнее уже уволился, и она в последний день работы это заметила, т.к. с утра прибежали и попросили некоторые шаблоны из той папки. неделю назад она копировала все свои наработки чтобы утащить с собой но и там папка только пустая, тобишь пропали до этого... вообщем я так понял не востановить, беда дело. будем потихоньки с бумаги перечерчивать чертежи в элекронный вид... варианты что человек хотел напортачить перед уходом отметаются сразу...
Re: пропалив файлы В групповой политике. Computer configuration -> windows settings -> Security Settings -> Local Policies -> Audit Policy. Потом на вкладке Security диалога свойст директории жмешь Advanced и идешь на вкладку Audit. Edit. Логи будут на вкладке Security в инструменте для просмотра системных логов. Но винда не предоставляет стандартных средств для анализа этой информации. Я вышел из положения таким образом - парсил логи утилиткой LogParser с сайта MS и клал в текстовый файл. А этот текстовый файл наши DBA пихали в оракловую базу, они же сваяли простенький web-интерфейс для доступа и произвольной выборки. Может, конечно, можно и прямее это все сделать
Re: пропалив файлы Это не отдельная программа, это встроенная функция сервера. Там же где и права доступа -- Advanced Security Settings => Auditing. Файловая система, ессесно, NTFS должна быть. Правда от этого Security Log пухнуть начинает, поскольку все события идут туда.
Re: "пропали" файлы А фазу на писю и заземление на язык не пробовали для обнаружения еще одной копии? У нас тоже был случай: один человек, как я понимаю, не вполне вменяемый, при уходе из нашей службы не придумал ничего умнее как стереть всю введенную им информацию. На служебное расследование нарвался. Как я уже говорил, если компутером пользовался только один человек, следы всегда найдутся (посекторное сканирование). Если никаких следов нет, удаление информации произведено намеренно -- при помощи всяких там стираний с перезаписью. Смысл в том, что при удалении (случайном) файла удаляется только его имя, но не сама информация.
Re: "пропали" файлы Блин, с каждым засейвленым файлом (по инету шаришся же, кукисы там, кэш всякий как минимум) вероятность записи на освободившееся место - мегаувеличивается. То что ты написал прокатывает сразу после стирания. А вот через неделю, я думаю, уже писец данным.
Re: "пропали" файлы Когда-то читал про фичу использования для записи наиболее "старых" блоков, свежеосвобожденные блоки вначале должны "устареть" что бы стать доступными для записи. И сделано это для возможности восстановить удаленные файлы без боязни что они перезаписаны. Помню что где-то это есть, но где именно (и есть ли в нтфс) не помню