Der er en fin lille funktion indbygget i Windows , der giver dig mulighed for at spore, når nogen ser, redigerer eller sletter noget inde i en bestemt mappe. Så hvis der er en mappe eller fil, som du vil vide, hvem der har adgang til, så er dette den indbyggede metode uden at skulle bruge tredjepartssoftware.

Denne funktion er faktisk en del af en Windows -sikkerhedsfunktion kaldet Group Policy , som bruges af de fleste IT-professionelle^{(IT Professionals)} , der administrerer computere i virksomhedens netværk via servere, men den kan dog også bruges lokalt på en pc uden nogen servere. Den eneste ulempe ved at bruge gruppepolitik^{(Group Policy)} er, at den ikke er tilgængelig i lavere versioner af Windows . Til Windows 7 skal du have Windows 7 Professional eller nyere. Til Windows 8 skal du bruge Pro eller Enterprise .

Udtrykket gruppepolitik^{(Group Policy)} refererer dybest set til et sæt registreringsindstillinger, der kan styres via en grafisk brugergrænseflade. Du aktiverer eller deaktiverer forskellige indstillinger, og disse redigeringer opdateres derefter i Windows -registreringsdatabasen.

I Windows XP skal du klikke på ^{(Windows XP)}Start og derefter Kør^(Run) for at komme til politikeditoren . I tekstboksen skal du skrive " gpedit.msc " uden anførselstegn som vist nedenfor:

I Windows 7 skal du bare klikke på Start -knappen og skrive gpedit.msc i søgefeltet nederst i Startmenuen^{(Start Menu)} . I Windows 8 skal du blot gå til startskærmen^{(Start Screen)} og begynde at skrive eller flytte musemarkøren til øverst eller nederst til højre på skærmen for at åbne Charms - linjen og klikke på Søg^(Search) . Så skriv bare gpedit . Nu skulle du se noget, der ligner billedet nedenfor:

Der er to hovedkategorier af politikker: Bruger^(User) og Computer . Som du måske har gættet, styrer brugerpolitikkerne indstillingerne for hver bruger, mens computerindstillingerne vil være systemomspændende indstillinger og vil påvirke alle brugere. I vores tilfælde vil vi ønske, at vores indstilling skal være for alle brugere, så vi udvider afsnittet Computerkonfiguration^{(Computer Configuration)} .

Fortsæt med at udvide til Windows-indstillinger^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Jeg vil ikke forklare meget af de andre indstillinger her, da dette primært er fokuseret på revision af en mappe. Nu vil du se et sæt politikker og deres aktuelle indstillinger i højre side. Revisionspolitik er det, der styrer, om operativsystemet er konfigureret og klar til at spore ændringer.

Tjek nu indstillingen for Audit Object Access ved at dobbeltklikke på den og vælge både Succes^(Success) og Failure . Klik på OK^{(Click OK)} , og nu er vi færdige med den første del, som fortæller Windows, at vi ønsker, at den skal være klar til at overvåge ændringer. Nu er næste skridt at fortælle det, hvad vi PRÆCIS^(EXACTLY) vil spore. Du kan lukke ud af gruppepolitikkonsollen^{(Group Policy)} nu.

Naviger nu til den mappe ved hjælp af Windows Stifinder^{(Windows Explorer)} , som du gerne vil overvåge. I Stifinder^(Explorer) skal du højreklikke på mappen og klikke på Egenskaber^(Properties) . Klik på fanen Sikkerhed^{( Security Tab)} , og du ser noget, der ligner dette:

Klik nu på knappen Avanceret^(Advanced) og klik på fanen Revision^(Auditing) . Det er her, vi faktisk konfigurerer, hvad vi vil overvåge for denne mappe.

Gå videre og klik på knappen Tilføj^(Add) . Der vises en dialogboks, hvor du bliver bedt om at vælge en bruger^(User) eller gruppe^(Group) . Indtast ordet " brugere^(users) " i feltet, og klik på Tjek navne^{(Check Names)} . Boksen vil automatisk opdatere med navnet på den lokale brugergruppe for din computer i formen COMPUTERNAME\Users .

Klik på OK^{(Click OK)} , og nu får du en anden dialog kaldet " Audit Entry for X ". Dette er det rigtige kød af det, vi har ønsket at gøre. Her skal du vælge, hvad du vil se for denne mappe. Du kan individuelt vælge, hvilke typer aktivitet du vil spore, såsom sletning eller oprettelse af nye filer/mapper osv. For at gøre tingene nemmere foreslår jeg at vælge Fuld kontrol^{(Full Control)} , som automatisk vil vælge alle de andre muligheder under sig. Gør dette for succes^(Success) og fiasko^(Failure) . På denne måde, uanset hvad der gøres med den mappe eller filerne i den, vil du have en registrering.

Klik nu på OK og klik på OK igen og OK en gang til for at komme ud af sæt med flere dialogbokse. Og nu har du med succes konfigureret revision på en mappe! Så du kan spørge, hvordan ser du begivenhederne?

For at se begivenhederne skal du gå til kontrolpanelet^{(Control Panel)} og klikke på Administrative værktøjer^{(Administrative Tools)} . Åbn derefter Event Viewer . Klik på sektionen Sikkerhed^(Security) , og du vil se en stor liste over begivenheder i højre side:

Hvis du går videre og opretter en fil eller blot åbner mappen og klikker på knappen Opdater^(Refresh) i Event Viewer (knappen med de to grønne pile), vil du se en masse begivenheder i kategorien Filsystem^{( File System)} . Disse vedrører enhver sletning, oprettelse, læsning, skriveoperation på de mapper/filer, du reviderer. I Windows 7 vises alt nu under Filsystem-^{(File System)} opgavekategorien, så for at se, hvad der skete, skal du klikke på hver enkelt og rulle gennem den.

For at gøre det nemmere at se så mange begivenheder igennem, kan du sætte et filter og bare se de vigtige ting. Klik^(Click) på menuen Vis^(View) øverst og klik på Filter . Hvis der ikke er nogen mulighed for Filter , skal du højreklikke på sikkerhedsloggen^(Security) på venstre side og vælge Filtrer aktuel log^{(Filter Current Log)} . Indtast nummeret 4656 i feltet Hændelses-id^{(Event ID)} . Dette er den hændelse, der er forbundet med en bestemt bruger, der udfører en filsystemhandling ^{(File System )} og vil give dig de relevante oplysninger uden at skulle gennemse tusindvis af poster.

Hvis du vil have mere information om en begivenhed, skal du blot dobbeltklikke på den for at se den.

Dette er oplysningerne fra skærmen ovenfor:

Der blev anmodet om et håndtag til en genstand.^{(A handle to an object was requested.)}

Emne: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Kontonavn : Aseem-kontodomæne ^{( Account Name: Aseem)}
: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
Logon ID: 0x175a1

Objekt: ^(Object:)
Objekt Server: Sikkerhed ^{( Object Server: Security)}
Objekttype: Fil ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Håndtag ID: 0x16a0^{( Handle ID: 0x16a0)}

Procesoplysninger: ^{(Process Information:)}
Proces-id: 0x820 Procesnavn ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Adgangsanmodningsoplysninger: ^{(Access Request Information:)}
Transaktions-id: {00000000-0000-0000-0000-000000000000} Adgange ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
: SLET ^{( Accesses: DELETE)}
SYNCHRONISER ^{( SYNCHRONIZE)}
Læseattributter^{( ReadAttributes)}

I eksemplet ovenfor var filen, der arbejdede på, New Text Document.txt i Tufu -mappen på mit skrivebord, og de adgange, som jeg anmodede om, var DELETE efterfulgt af SYNCHRONIZE . Det jeg gjorde her var at slette filen. Her er et andet eksempel:

Objekttype: Fil ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Håndtag ID: 0x178^{( Handle ID: 0x178)}

Procesoplysninger: ^{(Process Information:)}
Proces-id: 0x1008 Procesnavn ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Oplysninger om adgangsanmodning: ^{(Access Request Information:)}
Transaktions-id: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Adgange: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (eller ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (eller AddFile) ^{( WriteData (or AddFile))}
AppendData (eller AddSubData (eller AddSubdirectory eller AddSubdirectory eller ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}ReadPipeAtributes ^{( WriteAttributes)}) ^{( ReadAttributes)}
Readtributes ^{( ReadEA)}
WritePipeA^{( WriteEA)}

Adgangsårsager: READ_CONTROL: Givet af ejerskab ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONISER: Givet af D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Mens du læser dette igennem, kan du se, at jeg fik adgang til Address Labels.docx ved hjælp af programmet WINWORD.EXE , og mine adgange inkluderede READ_CONTROL, og mine adgangsårsager var også READ_CONTROL . Normalt vil du se en masse flere adgange, men fokuser bare på den første, da det normalt er hovedtypen af ​​adgang. I dette tilfælde åbnede jeg blot filen ved hjælp af Word . Det kræver lidt afprøvning og gennemlæsning af begivenhederne for at forstå, hvad der foregår, men når først du har det nede, er det et meget pålideligt system. Jeg foreslår at oprette en testmappe med filer og udføre forskellige handlinger for at se, hvad der dukker op i Event Viewer .

Det er stort set det! En hurtig og gratis måde at spore adgang eller ændringer til en mappe!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built intо Windows that allows yоu to track when someone views, edits, or deletes something inside of a specified folder. So if there’s a folder or file that you want to know who is accessing, then this iѕ the buіlt-іn method without having to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Sådan opretter du en sikret og låst mappe i Windows XP

• Sådan gemmer du dit skrivebordsikonlayout i Windows XP, 7, 8

• Sådan rettes "Manglende eller korrupte NTFS.sys"-fejl i Windows XP

• Fjernadgang til en Windows XP- eller Windows Server 2003-computer

• Installer en netværksprinter fra Windows XP ved hjælp af driveropsætning

• Top 10 forskelle mellem Windows XP og Windows 7

• Konfigurer eller deaktiver DEP (Data Execution Prevention) i Windows

• Sådan øges Windows Stifinders standard miniaturestørrelse for billeder

• Fejlfinding af problemer med trådløs netværksforbindelse i Windows XP

• Hvad er mappen PerfLogs i Windows 10

• Sådan kontrollerer du proxyserverindstillingerne på din computer

• 8 billigere alternativer til Geek Squad til at reparere din computer

• Sådan tilføjes et program til opstart i Windows XP

• Sådan installeres et WordPress-testwebsted på din computer

• Sådan afspiller du Blu-Ray-diske på din computer

• Vedhæft en VHD-fil i Windows XP

• 15 tips til at øge din computerhastighed

• Mangler msvcr120.dll på din computer? 8 måder at rette på

• Rette redigering af registreringsdatabasen er blevet deaktiveret af din administratorfejl

• Sådan ændres standardbilledfremviser i Windows