Nachträglich sehen wer Dateien überschrieben hat
Hallo,
bei einem Kunden sind auf dem Windows Fileserver (Win Server 2016) einige Dateien mit alten Versionen überschrieben worden. Ich muss aus herausfinden welcher Benutzer das gewesen ist und danach eine Wiederherstellung machen. Die Wiederherstellung ist nicht das Problem. Aber das Herausfinden welcher Benutzer die Daten überschrieben hat weiß ich nicht wie ich das unter Windows hinbekomme. Gibt es dafür eine zentrale Protokolllierung wo ich das sehen kann und die standartmäßig aktiviert ist?
Gruß und Dank
bei einem Kunden sind auf dem Windows Fileserver (Win Server 2016) einige Dateien mit alten Versionen überschrieben worden. Ich muss aus herausfinden welcher Benutzer das gewesen ist und danach eine Wiederherstellung machen. Die Wiederherstellung ist nicht das Problem. Aber das Herausfinden welcher Benutzer die Daten überschrieben hat weiß ich nicht wie ich das unter Windows hinbekomme. Gibt es dafür eine zentrale Protokolllierung wo ich das sehen kann und die standartmäßig aktiviert ist?
Gruß und Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 343753
Url: https://administrator.de/forum/nachtraeglich-sehen-wer-dateien-ueberschrieben-hat-343753.html
Ausgedruckt am: 02.04.2025 um 18:04 Uhr
7 Kommentare
Neuester Kommentar

Hallo,
in einigen Office-Programmen gibt es z.B. Dateieigenschaften, in denen protokolliert wird, wer die Datei zuletzt gespeichert hat. Das könnte zumindest ein Anhaltspunkt sein. Vorausgesetzt, der Benutzer hat nicht eine Datei, die von "irgendjemand Anderes" zuletzt gespeichert wurde an den Zielort kopiert.
Gelegentlich wird man auch aus den Dateiberechtigungen (Besitzer) schlau.
Ich würde mir auf jeden Fall vor Augen führen, dass hier u.U. eine Verhaltensanalyse aufgrund personenbezogener Daten stattfindet. Das ist datenschutzrechtlich relevant - ich wäre da sehr vorsichtig, vor allem, wenn am Ende mit dem Finger auf einem Mitarbeiter gezeigt wird.
Gruß,
Jörg
in einigen Office-Programmen gibt es z.B. Dateieigenschaften, in denen protokolliert wird, wer die Datei zuletzt gespeichert hat. Das könnte zumindest ein Anhaltspunkt sein. Vorausgesetzt, der Benutzer hat nicht eine Datei, die von "irgendjemand Anderes" zuletzt gespeichert wurde an den Zielort kopiert.
Gelegentlich wird man auch aus den Dateiberechtigungen (Besitzer) schlau.
Ich würde mir auf jeden Fall vor Augen führen, dass hier u.U. eine Verhaltensanalyse aufgrund personenbezogener Daten stattfindet. Das ist datenschutzrechtlich relevant - ich wäre da sehr vorsichtig, vor allem, wenn am Ende mit dem Finger auf einem Mitarbeiter gezeigt wird.
Gruß,
Jörg
Hallo,
im Nachhinein ist es auf NTFS-Ebene nicht nachvollziehbar, wer Daten gelöscht bzw. überschrieben hat, wenn KEINE Überwachung aktiviert war.
Erst wenn man die Überwachung aktiviert, kann man nachvollziehen, wer was gemacht hat.
Allerdings wie schon erwähnt, ist das Datenschutztechnisch relevant.
Es gibt im Forum bereits mehrere Beiträge/Fragen zu diesem Thema.
Gruss Penny
im Nachhinein ist es auf NTFS-Ebene nicht nachvollziehbar, wer Daten gelöscht bzw. überschrieben hat, wenn KEINE Überwachung aktiviert war.
Erst wenn man die Überwachung aktiviert, kann man nachvollziehen, wer was gemacht hat.
Allerdings wie schon erwähnt, ist das Datenschutztechnisch relevant.
Es gibt im Forum bereits mehrere Beiträge/Fragen zu diesem Thema.
Gruss Penny

Hallo,
wie gesagt - personenbezogene Daten, die Rückschlüsse auf das Verhalten zulassen, *darfst* Du "nicht einfach mal so eben" protokollieren und dokumentieren, schon gar nicht verdachtsunabhängig. Wenn dich ein Mitarbeiter erwischt (z.B. weil Du dich verplapperst) sind die (Haft-)Strafen drakonisch.
Aber egal, jeder ist seines Glückes Schmied und letztendlich sind es deine Kinder, die vor der Ziegelsteinmauer "noch fünfmal singen"
Das Thema nennt sich NTFS-Auditing: https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Gruß,
Jörg
wie gesagt - personenbezogene Daten, die Rückschlüsse auf das Verhalten zulassen, *darfst* Du "nicht einfach mal so eben" protokollieren und dokumentieren, schon gar nicht verdachtsunabhängig. Wenn dich ein Mitarbeiter erwischt (z.B. weil Du dich verplapperst) sind die (Haft-)Strafen drakonisch.
Aber egal, jeder ist seines Glückes Schmied und letztendlich sind es deine Kinder, die vor der Ziegelsteinmauer "noch fünfmal singen"
Das Thema nennt sich NTFS-Auditing: https://www.windowspro.de/wolfgang-sommergut/ntfs-auditing-zugriff-auf-d ...
Gruß,
Jörg
Wenn das Kind in den Brunnen gefallen ist und die Frage danach auftaucht, lautet meine Antwort: Isso.
Ich kläre dann auf, daß man die Überwachung von diesen Aktivitäten einschalten kann.
Allerdings muß dies dann mit der Revision, dem Betriebsrat und Rechtsbeistand abgestimmt werden.
Zudem sollten/müssen alle Mitarbeiter darüber informiert werden.
Gruss Penny
Ich kläre dann auf, daß man die Überwachung von diesen Aktivitäten einschalten kann.
Allerdings muß dies dann mit der Revision, dem Betriebsrat und Rechtsbeistand abgestimmt werden.
Zudem sollten/müssen alle Mitarbeiter darüber informiert werden.
Gruss Penny

Hallo,
Einfache Sache: Wenn jemand Dateien schrotet:
Gruß,
Jörg
Einfache Sache: Wenn jemand Dateien schrotet:
- werden die aus dem Backup zurückgespielt
- weise ich darauf hin, dass ich zwar für technische, aber gewiss nicht für organisatorische Abläufe zuständig bin
- regeln die Mitarbeiter bzw. die Abteilungsleiter das im Anschluss untereinander
Gruß,
Jörg