Kako slediti, ko nekdo dostopa do mape v računalniku
V operacijski sistem Windows je vgrajena le majhna funkcija, ki vam omogoča sledenje, ko nekdo gleda, ureja ali izbriše nekaj znotraj določene mape. Torej, če obstaja mapa ali datoteka, ki jo želite vedeti, kdo dostopa, je to vgrajena metoda brez uporabe programske opreme tretjih oseb.
Ta funkcija je pravzaprav del zaščitene funkcije Windows Pravila skupine, ki jo uporablja večina IT strokovnjakov, ki upravljajo računalnike v omrežju podjetja prek strežnikov, lahko pa se uporablja tudi lokalno na računalniku brez strežnikov. Edina slabost uporabe pravilnika skupine je, da ni na voljo v nižjih različicah sistema Windows. Za Windows 7 morate imeti Windows 7 Professional ali novejši. Za Windows 8 potrebujete Pro ali Enterprise.
Izraz »pravilnik skupine« se v bistvu nanaša na niz nastavitev registra, ki jih lahko nadzorujete z grafičnim uporabniškim vmesnikom. Omogočite ali onemogočite različne nastavitve in te spremembe se nato posodobijo v registru Windows.
V operacijskem sistemu Windows XP, da pridete do urejevalnika pravil, kliknite Začni in potem Zaženi. V besedilno polje vnesite »gpedit.msc"Brez narekovajev, kot je prikazano spodaj:
V sistemu Windows 7 kliknite gumb Start in vnesite gpedit.msc v iskalno polje na dnu menija Start. V operacijskem sistemu Windows 8 preprosto pojdite na začetni zaslon in začnite tipkati ali premaknite kazalec miške na skrajni vrh ali spodaj desno na zaslonu, da odprete Čar in kliknite Iskanje. Potem vtipkajte gpedit. Zdaj bi morali videti nekaj, kar je podobno spodnji sliki:
Obstajata dve glavni kategoriji politik: Uporabnik in Računalnik. Kot ste morda uganili, pravilnik za uporabnike nadzoruje nastavitve za vsakega uporabnika, medtem ko bodo nastavitve računalnika nastavljene na sistem in bodo vplivale na vse uporabnike. V našem primeru bomo želeli, da je naša nastavitev za vse uporabnike, zato bomo razširili Konfiguracija računalnika oddelek.
Nadaljujte s širitvijo na Nastavitve sistema Windows -> Varnostne nastavitve -> Lokalna pravila -> Revizijska politika. Tukaj ne bom razlagal veliko drugih nastavitev, saj je to osredotočeno predvsem na revidiranje mape. Zdaj boste videli nabor pravilnikov in njihove trenutne nastavitve na desni strani. Revizijska politika je tisto, kar nadzoruje, ali je operacijski sistem konfiguriran in pripravljen za spremljanje sprememb.
Zdaj preverite nastavitev za Dostop do objektov za revizijo tako, da dvakrat kliknete nanj in izberete oboje Uspeh in Neuspeh. Kliknite V redu in zdaj smo naredili prvi del, ki Windowsu sporoča, da želimo biti pripravljen na spremljanje sprememb. Naslednji korak je povedati, kaj točno želimo slediti. Zdaj lahko zaprete konzolo pravilnika skupine.
Zdaj se pomaknite do mape s pomočjo raziskovalca Windows, ki ga želite nadzirati. V Raziskovalcu z desno miškino tipko kliknite mapo in kliknite Lastnosti. Kliknite na Zavihek Varnost in vidite nekaj podobnega temu:
Sedaj kliknite na Napredno in kliknite na Revizija zavihek. Tukaj bomo dejansko konfigurirali, kaj želimo spremljati za to mapo.
Nadaljujte in kliknite Dodaj gumb. Prikaže se pogovorno okno, ki vas prosi, da izberete uporabnika ali skupino. V polje vnesite besedo »uporabnikiIn kliknite Preverite imena. Polje se bo samodejno posodobilo z imenom lokalne skupine uporabnikov za vaš računalnik v obrazcu Uporabniki COMPUTERNAME.
Kliknite V redu in zdaj boste dobili drugo pogovorno okno »Vnos za X za revizijo“. To je pravo meso tega, kar smo si želeli. Tukaj boste izbrali, kaj želite gledati za to mapo. Posamezno lahko izberete, katere vrste dejavnosti želite spremljati, kot so brisanje ali ustvarjanje novih datotek / map itd. Da bi olajšali delo, predlagam, da izberete celoten nadzor, ki bo samodejno izbral vse druge možnosti pod njim. Naredite to za Uspeh in Neuspeh. Tako boste, ne glede na to, kaj se bo zgodilo s to mapo ali datotekami v njem, imeli zapis.
Sedaj kliknite V redu in ponovno kliknite V redu in še enkrat OK, da se izločite iz večih pogovornih oken. In zdaj ste uspešno konfigurirali revizijo v mapi! Morda boste vprašali, kako gledate dogodke?
Če si želite ogledati dogodke, pojdite na nadzorno ploščo in kliknite Skrbniška orodja. Potem odprite Pregledovalnik dogodkov. Kliknite na Varnost in videli boste velik seznam dogodkov na desni strani:
Če ustvarite datoteko ali preprosto odprete mapo in kliknete gumb Osveži v pregledovalniku dogodkov (gumb z dvema zelenima puščicama), boste videli vrsto dogodkov v kategoriji Datotečni sistem. Ti se nanašajo na operacije brisanja, ustvarjanja, branja, pisanja v mapah / datotekah, ki jih pregledujete. V operacijskem sistemu Windows 7 se vse zdaj prikaže pod kategorijo nalog datotečnega sistema, zato da boste videli, kaj se je zgodilo, boste morali klikniti vsakega od njih in se pomikati po njem.
Da bi lažje pogledali toliko dogodkov, lahko postavite filter in si ogledate pomembne stvari. Kliknite na Prikaži na vrhu in kliknite Filter. Če možnost Filter ni na voljo, z desno miškino tipko kliknite varnostni dnevnik na levi strani in izberite Filtriraj trenutni dnevnik. V polje ID dogodka vnesite številko 4656. To je dogodek, povezan z določenim uporabnikom, ki izvaja a Datotečni sistem in vam bodo dali ustrezne informacije, ne da bi morali pregledati tisoče vnosov.
Če želite dobiti več informacij o dogodku, ga preprosto dvokliknite, da si ga ogledate.
To so informacije na zgornjem zaslonu:
Zahtevan je bil ročaj objekta.
Zadeva:
ID zaščite: Aseem-Lenovo \ t
Ime računa: Aseem
Domena računa: Aseem-Lenovo
ID prijave: 0x175a1
Objekt:
Objektni strežnik: Varnost
Vrsta objekta: datoteka
Ime objekta: C: Uporabniki Aseem Namizje Oufu Nov dokument Text.txt
ID ročaja: 0x16a0
Informacije o postopku:
ID procesa: 0x820
Ime procesa: C: Windows explorer.exe
Informacije o zahtevi za dostop:
ID transakcije: 00000000-0000-0000-0000-000000000000
Dostopi: DELETE
SYNCHRONIZE
ReadAttributes
V zgornjem primeru je datoteka delovala na New Text Document.txt v mapi Tufu na mojem namizju in dostopi, ki sem jih zahteval, so bila DELETE, ki ji je sledil SYNCHRONIZE. Tukaj sem izbrisal datoteko. Še en primer:
Vrsta objekta: datoteka
Ime objekta: C: Uporabniki Izgledi Namizje Oufu Naslov Labels.docx
ID ročaja: 0x178
Informacije o postopku:
ID procesa: 0x1008
Ime procesa: C: Programske datoteke (x86) Microsoft Office Office14 WINWORD.EXE
Informacije o zahtevi za dostop:
ID transakcije: 00000000-0000-0000-0000-000000000000
Dostopi: READ_CONTROL
SYNCHRONIZE
ReadData (ali seznam liste)
WriteData (ali AddFile)
AppendData (ali AddSubdirectory ali CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Razlogi za dostop: READ_CONTROL: Dodeljeno po lastništvu
SINKRONIZACIJA: Podelil D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Med branjem tega lahko vidite, da sem z uporabo programa WINWORD.EXE dostopal do naslova Labels.docx, moje dostopi pa so vključevali READ_CONTROL in moji razlogi za dostop so bili tudi READ_CONTROL. Običajno boste videli veliko več dostopov, ampak se osredotočite na prvo, saj je to običajno glavna vrsta dostopa. V tem primeru sem datoteko preprosto odprl z Wordom. Potrebno je malo preizkušanja in branja dogodkov, da bi razumeli, kaj se dogaja, toda ko ste ga spustili, je to zelo zanesljiv sistem. Predlagam, da ustvarite preizkusno mapo z datotekami in izvedete različna dejanja, da vidite, kaj se prikaže v pregledovalniku dogodkov.
To je precej! Hiter in brezplačen način za sledenje dostopu ali spremembam v mapi!