Как узнать кто создал папку на сетевом диске
Система - 2003, сеть с доменом. На сервере имеются открытые в общий доступ папки с файлами. Одна из таких папок приспособлена под обменник. Где в 2003 винде могу посмотреть по логам - кто, когда и что именно закидывал в определенную папку?
Как пример - сегодня я положил в общую папку файл, доступ к которой есть у всех. Завтра смотрю - этого файла нет. Где мне увидеть по логам - кто и когда его удалил?
-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Конфигурация компьютера | |
Процессор: Intel Core i5 2410M 2.3 ГГц | |
Память: 8192Мб (2 x 4096 Мб) DDR3 1333 МГц | |
HDD: SSD 120GB+SATA 750 Гб | |
Видеокарта: HD 3000 | |
Монитор: 17.3" | |
Ноутбук/нетбук: ASUS K73E | |
ОС: Windows 8 Pro |
Начал ковырять этот вопрос. При попытке открыть свойства строки, относящейся к "доступу к объектам" разделы, отвечающие за включение или отключение - затенены, соответственно, включить или выключить нельзя. В чем может быть проблема?
-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.
Значит, данный параметр уже назначен в домене и перекрывает локальную политику. Настройте его в правильной доменной политике.
-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.
1. Назначив политику, убедитесь, что она применилась конкретным целевым сервером. Хотя бы в той же Local Policy галочка уже станет видна.
2. Покажите, как выставлен аудит на NTFS.
Кстати, иногда неплохо опробовать настройки на одиночной недоменной машине, понять суть их работы; затем переносить в домен.
-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.
Современная операционная система Windows 7 предоставляет широкие возможности для настройки безопасности системы и аудита происходящих в системе изменений. Все файлы и папки, находящиеся на разделах, имеют установленную политику доступа. Чтобы посмотреть, кто является владельцем папки, зайдите в ее свойства.
- Как узнать, кто создал папку
- Как узнать, кто удалил файл
- Как найти пропавшую папку
Откройте в «Моем компьютере» местонахождение интересующей вас папки. Кликните правой кнопкой мыши по рисунку папки, а затем по нижнему пункту «Свойства». Откроется окно информации о выбранной папке. Зайдите на вкладку безопасность, а затем щелкните мышью по кнопке «Дополнительно», чтобы перейти в расширенные настройки. Обратите внимание на вкладку «Владелец» открывшегося окна.
В поле «Текущий владелец» будет указано имя и группа владельца выбранной папки. Указание имени и группы производится через знак слэша. Также утилита предлагает возможность изменить владельца данной папки на другого пользователя компьютера. Чтобы изменить владельца выбранной папки, выберите пользователя из предложенного списка или добавьте другого. Для этого кликните по кнопке «Изменить» и затем «Другие пользователи и группы». Найдите нужного пользователя с помощью встроенной опции поиска, а затем добавьте к списку.
Стоит заметить, что владелец папки не всегда является ее создателем. Владельцем автоматически становится тот пользователь, который был авторизован в момент создания папки. Однако, некоторые папки и файлы возникают под влиянием системы или вирусов. Для отслеживания действий процессов нужно устанавливать программу мониторинга системы. Также можно установить специальное программное обеспечение, которое в режиме реального времени записывает все действия на компьютере.
Работая в офисе, когда все компьютеры объединены в одну сеть, когда к папкам и файлам имеют доступ и другие сотрудники фирмы, рискуешь в один прекрасный день не найти нужный файл, папку или документ. И тогда возникает вопрос: куда он делся, кто мог его удалить? Можно ли получить информацию о том, кто удалил файл с вашего компьютера? Можно, необходимо лишь включить аудит доступа к файлам и папкам.
- Как узнать, кто удалил файл
- Как посмотреть удаленные программы
- Как узнать, чем занят файл
- Персональный компьютер, доступ от имени администратора
Для этого вам необходимо зайти в меню «Пуск» и кликнуть по опции «Панель управления». В открывшемся окне выбираете опцию «Производительность и обслуживание», в Windows 7 нужно выбрать «Система и безопасность». Перейдите по вкладке к пункту «Администрирование» и откройте его двойным щелчком левой кнопки мыши. В открывшемся окне выберите пункт «Локальная политика безопасности». Если окно не открылось при двойном клике левой кнопки мыши, то кликните правой кнопкой и откройте вход от имени администратора. В новом окне щелкаете по папке «Локальные политики» и далее выбираете папку «Политика аудита». Осталось сделать клик по пункту «Аудит доступа к объектам».
В открывшемся диалоговом окне поставьте флажки либо у опции «Успех» (с ее помощью будут отслеживаться все удачные попытки открыть файл), либо у «Отказ» (эта опция позволяет проследить неудачные попытки). Чтобы отследить все попытки доступа к файлам нужно установить два флажка. Последнее действие – нажать кнопку «Ок».
После установления аудита в «Свойствах» той папки, за операциями над которой вы хотите следить, в разделе «Безопасность» щелкните иконку «Дополнительно», выберите «Аудит» и в открывшемся окне кликните по слову «Дополнительно» и внесите имя пользователя или группы пользователей, чьи действия с данной папкой будут отслеживаться. Можно выбирать различные списки пользователей. Также стоит отметить, что данные параметры вы всегда сможете изменить, следуя аналогичному принципу работы. Теперь вы всегда будете в курсе, кто работал с файлами и по чьей неосторожности они исчезли. Данная функция пригодится людям, которые работают в различных компаниях за компьютерами.
Конфигурация компьютера | |
Процессор: i5 2320 | |
Материнская плата: Asrock H77 Pro4/MVP | |
Память: 2x4GB DDR3 | |
Видеокарта: GTX 960 | |
Блок питания: Chieftec APS-650C | |
Монитор: Dell U2312HM | |
ОС: Windows 10 pro |
Суть вопроса - есть пк под управлением Windows 7. На этом пк расшарена папка, и она работает как файлопомойка для других юзеров.
Пользователи со своей стороны имеют на рабочем столе ярлычок который ссылается на \\имяпк\папка (возможно у некоторых подключено как сетевой диск).
Несколько недель назад в этой папке начали появляться exe-шники с названием папки и иконкой папки. Короче говоря, вирус. Но, сам пк не инфицирован (проверял авз и кьюритом).
Задача - определить имя пк либо айпи адрес пк, который эти файлы заливает в папку.
Как это сделать? Встроенный в виндовс аудит записи\чтения в данном случае не помог, потому что событие создание файла в папке не регистрируется, только его воспроизведение либо модификация. И плюс ко всему этому, даже если бы и регистрировал - в событиях всё равно нет информации о том кто инициализировал создание этого файла (имя пк или айпи) - а только учетная запись (а там включен гостевой доступ, потому что со стороны клиентов есть учетные записи с одинаковым именем но разными паролями).
Может есть какой-нибудь софт, который мне поможет, или я что-то упускаю?
Либо, если вопрос решается каким-нибудь другим способом - я весь внимание
Конфигурация компьютера | |
Процессор: Core™i5 (3427M) | |
Память: 8Gb DDR3 | |
Видеокарта: Intel HD Graphics | |
Ноутбук/нетбук: Dell Latitude 6430u | |
ОС: Windows 7 Enterprise |
есть File System Auditor от ScriptLogic (нынче Dell), но она очень громоздкая и я не уверена про раб.группы.
возможно поможет ProcessMOnitor с фильтром только на активность по нужной шаре?
-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Индивидуальные учётные записи нужны в том числе для аудита.
Гостевой доступ = отсутствие безопасности.
-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.
Либо, если вопрос решается каким-нибудь другим способом - я весь внимание » |
Не знай насколько это правильно/изящно, но. Я б сделал так:
На вашем ЦентральномПК создал отдельные УЗ для каждого ПК (пользователя) в сети.
На ПК в сети подключаете папку как сетевой диск - указываете её адрес в сети, выбираете пункт "подключить с использованием других учетных данных", указать логин/пароль соответствующей УЗ, созданной на вашем ПК в виде ЦентральныйПК\ЛогинНужногоПользователя, ставите галку "запомнить". Логины и пароли соответственно лучше не сообщать, чтоб юзеры не занимались самодеятельностью.
Дальше на ЦентральномПК заходите в свойства расшаренной папки, "безопасность", настраиваете разрешения для админа (себя) полный доступ, для группы "Все" - "только чтение" область применения "для этой папки, её подпапок и файлов". Это исключит появление мусора в папке. Внутри папки создаете подпапки с фамилиями нужных вам сотрудников, на каждую такую папку будут действовать разрешения родительской папки, заданные ранее, плюс задаете каждой из них "полный доступ" для УЗ того сотрудника, которому эта папка принадлежит, чтобы каждый мог полностью управлять только своей папкой и не мог ничего записывать/удалять в чужих папках. Так вы найдете источник проблемы, а может и оставите схему навсегда.
Конфигурация компьютера | |
Процессор: core i5 @750 | |
Материнская плата: GA-P55M-UD4 | |
Память: KVR1333D3N9K2 2x4 | |
HDD: WDC WD10EZEX | |
Видеокарта: MSI R9 270X GAMING | |
ОС: Win10 Pro x64 (1607) | |
Прочее: Нет |
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя.
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя. » |
Думаю, как раз не увидит. При текущей схеме либо имя пользователя будет одинаковое у всех файлов (и скорее всего это будет Гость), либо будет неопознанная абракадабра вида S-1-5-21-739885483-787813350-3006741363-1002, потому что файл принадлежит УЗ удаленного компьютера, которой нет в локальной базе учетных записей на сервере. Потому и надо каждому пользователю заводить отдельную учетку локально.
Конфигурация компьютера | |
Процессор: i5 2320 | |
Материнская плата: Asrock H77 Pro4/MVP | |
Память: 2x4GB DDR3 | |
Видеокарта: GTX 960 | |
Блок питания: Chieftec APS-650C | |
Монитор: Dell U2312HM | |
ОС: Windows 10 pro |
есть File System Auditor от ScriptLogic (нынче Dell), но она очень громоздкая и я не уверена про раб.группы. » |
Попробую покопаться, спасибо.
возможно поможет ProcessMOnitor с фильтром только на активность по нужной шаре? » |
Пробовал в той теме, не вариант. Имя пользователя там вытащить можно, но оно мне ни о чем не говорит. Информации об айпи или имени компьютера нет.
Не знай насколько это правильно/изящно, но. Я б сделал так: На вашем ЦентральномПК создал отдельные УЗ для каждого ПК (пользователя) в сети. На ПК в сети подключаете папку как сетевой диск - указываете её адрес в сети, выбираете пункт "подключить с использованием других учетных данных", указать логин/пароль соответствующей УЗ, созданной на вашем ПК в виде ЦентральныйПК\ЛогинНужногоПользователя, ставите галку "запомнить". Логины и пароли соответственно лучше не сообщать, чтоб юзеры не занимались самодеятельностью. Дальше на ЦентральномПК заходите в свойства расшаренной папки, "безопасность", настраиваете разрешения для админа (себя) полный доступ, для группы "Все" - "только чтение" область применения "для этой папки, её подпапок и файлов". Это исключит появление мусора в папке. Внутри папки создаете подпапки с фамилиями нужных вам сотрудников, на каждую такую папку будут действовать разрешения родительской папки, заданные ранее, плюс задаете каждой из них "полный доступ" для УЗ того сотрудника, которому эта папка принадлежит, чтобы каждый мог полностью управлять только своей папкой и не мог ничего записывать/удалять в чужих папках. Так вы найдете источник проблемы, а может и оставите схему навсегда. » |
Я бы тоже скорее всего сделал так, если бы задача была в том чтобы сделать всё с 0. Но приходится поддерживать то что уже есть.
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя. Ну или включить на время аудит для данной папки. » |
Не вижу оснований для этого. Переделка не такая уж долгая/сложная и весьма мало меняет функциональность общей папки для пользователей. Привыкнут быстро. Для руководства обоснование ваших действий: предотвращение вирусной эпидемии в сети, потому что рано или поздно кто-то запустит этот вирусный экзешник и как назло антивирус окажется выключен в этот момент.
Если компьютеров немного, пройдитесь пешочком и проверьте каждый на инфекцию.
Конфигурация компьютера | |
Процессор: i5 2320 | |
Материнская плата: Asrock H77 Pro4/MVP | |
Память: 2x4GB DDR3 | |
Видеокарта: GTX 960 | |
Блок питания: Chieftec APS-650C | |
Монитор: Dell U2312HM | |
ОС: Windows 10 pro |
Не вижу оснований для этого. Переделка не такая уж долгая/сложная и весьма мало меняет функциональность общей папки для пользователей. Привыкнут быстро. Для руководство обоснование ваших действий: предотвращение вирусной эпидемии в сети. » |
Нет. У меня начальники нормальные и понимают, что будет полная. беда, если с компьютерами сотрудников начнутся ненужные приключения (особенно с компьютерами бухгалтерии, где лежат бухгалтерские базы и архивы документов, и с сервером, где лежат бекапы бухгалтерских архивов). Так что стараются прислушиваться.
Работая в совместно используемой системе, Вы не можете рассчитывать на то, что все файлы принадлежат Вам, однако вполне можете столкнуться с необходимостью очистки жесткого диска. Рано или поздно Вы встретите файлы, не принадлежащие Вам, и будете вынуждены что-то делать с ними. Даже при полной уверенности в том, что файл бесполезен, и никто никогда к нему не обратится, Вам необходимо спросить о нем у владельца файла. В противном случае Вы рискуете удалить файл, для каких-то целей нужный владельцу. Таким образом, возникает задача определить, кому принадлежит файл.
К сожалению, чтобы определить владельца файла с помощью проводника нужно сделать множество щелчков мышью. Чтобы получить интересующую Вас информацию быстро, откройте окно командной строки и введите в ней команду:
Dir \Q имя_файла
После нажатия клавиши Enter утилита Dir отобразит имя владельца файла. Как правило, владельцем файла является пользователь, создавший его. В самом худшем случае он способен переадресовать Вас к лицу, способному определить, что делать с файлом. Достоинством метода является возможность одновременной проверки множества файлов, особенно если эти файлы имеют одно расширение.
Если Вы подозреваете, что решение задачи подобным способом отнимает слишком много времени, воспользуйтесь проводником. Щелкните на файле правой кнопкой мыши и выберите в контекстном меню команду Свойства. В окне свойств перейдите на вкладку Безопасность и щелкните на кнопке Дополнительно. В диалоговом окне Дополнительные параметры безопасности перейдите на вкладку Владелец, в которой расположено поле Текущий владелец этого элемента. Именно в этом поле Вы найдете информацию о владельце файла. Единственной веской причиной для использования описанного метода является смена владельца файла — задача, которую не так просто решить с помощью командной строки.
Читайте также: