Я создал объект групповой политики с помощью консоли управления Microsoft, чтобы ограничить права не-администраторов на выполнение определенных действий (доступ к панели управления, запуск regedit и т.д.). Недавно я обнаружил, что некоторые из этих ограничений были сняты.
Исследуя эту проблему, я обнаружил, что ntuser.pol (файл, который содержит информацию о групповой политике для пользователя) по-прежнему отражает правильные настройки, но соответствующий файл куста реестра ntuser.dat этого не сделал.
Я полагаю, что файлы ntuser.dat.log1 и ntuser.dat.log2 могут содержать информацию о том, какой процесс изменил ntuser.dat и когда. К сожалению, эти файлы в двоичном формате, и я не могу найти для них читателя. Мне было интересно, есть ли на самом деле ридер для этих типов файлов или эти файлы могут быть использованы для судебного анализа изменений ntuser.dat каким-либо другим способом?