5

Есть ли способ определить, какой пользователь создал файл на Win XP с NTFS?

1 ответ1

6

Все файлы в NTFS имеют « владельца », который отображается в

  • столбец « Владелец» в "подробном" окне проводника (необходимо добавить вручную; щелкните заголовок правой кнопкой мыши)
  • Свойства - Безопасность - Дополнительно - Владение (в XP Professional)
  • dir/q в командной строке

В Windows NT (начиная с NT 3.1, включая XP, 2003, Vista, 7 и будущие версии) все вновь созданные объекты принадлежат их создателю.

Это не ограничивается файлами: почти ко всему может быть прикреплен ACL. Примеры: именованные каналы, ключи реестра, процессы, службы, рабочие столы, устройства, мьютексы ...

  • Если кто-то еще не вступает во владение. (Администраторы могут сделать это, используя привилегию SeTakeOwnership ; пользователи, не являющиеся администраторами, могут стать владельцами, если ACL объекта позволяет это.)

  • В серверных выпусках Windows NT администраторы могут назначать владение объектом другому пользователю. Потребительские выпуски (например, Windows XP или 7) разрешают владеть только вами.

  • В Windows 2000 и более ранних версиях, если создатель является членом группы «Администраторы», созданные им объекты будут принадлежать администраторам, а не пользователю. Это изменилось в Windows XP, где пользователь всегда будет владеть объектами, которые он создает.


Для большинства типов объектов вы можете даже включить аудит, который приводит к тому, что все операции над объектом регистрируются в журнале безопасности. (Вы можете выбрать, какие операции регистрировать.)

Для файлов это можно сделать в Свойствах - Безопасность - Дополнительно - Аудит. Используйте Event Viewer (eventvwr.exe), чтобы увидеть записи журнала.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .