Есть ли способ определить, какой пользователь создал файл на Win XP с NTFS?
1 ответ
Все файлы в NTFS имеют « владельца », который отображается в
- столбец « Владелец» в "подробном" окне проводника (необходимо добавить вручную; щелкните заголовок правой кнопкой мыши)
- Свойства - Безопасность - Дополнительно - Владение (в XP Professional)
dir/q
в командной строке
В Windows NT (начиная с NT 3.1, включая XP, 2003, Vista, 7 и будущие версии) все вновь созданные объекты принадлежат их создателю.
Это не ограничивается файлами: почти ко всему может быть прикреплен ACL. Примеры: именованные каналы, ключи реестра, процессы, службы, рабочие столы, устройства, мьютексы ...
Если кто-то еще не вступает во владение. (Администраторы могут сделать это, используя привилегию
SeTakeOwnership
; пользователи, не являющиеся администраторами, могут стать владельцами, если ACL объекта позволяет это.)В серверных выпусках Windows NT администраторы могут назначать владение объектом другому пользователю. Потребительские выпуски (например, Windows XP или 7) разрешают владеть только вами.
В Windows 2000 и более ранних версиях, если создатель является членом группы «Администраторы», созданные им объекты будут принадлежать администраторам, а не пользователю. Это изменилось в Windows XP, где пользователь всегда будет владеть объектами, которые он создает.
Для большинства типов объектов вы можете даже включить аудит, который приводит к тому, что все операции над объектом регистрируются в журнале безопасности. (Вы можете выбрать, какие операции регистрировать.)
Для файлов это можно сделать в Свойствах - Безопасность - Дополнительно - Аудит. Используйте Event Viewer (eventvwr.exe
), чтобы увидеть записи журнала.