Existe-t-il un moyen de déterminer quel utilisateur a créé un fichier sous Win XP avec NTFS ?
Réponse
Trop de publicités?
Tous les fichiers sur NTFS ont un " propriétaire "qui s'affiche dans
- le site Propriétaire colonne dans la vue "détaillée" de l'Explorateur (doit être ajoutée manuellement ; cliquez avec le bouton droit de la souris sur l'en-tête)
- Propriétés - Sécurité - Avancé - Propriété (dans XP Professional)
-
dir/qsur l'invite de commande
Sous Windows NT (à partir de NT 3.1, y compris XP, 2003, Vista, 7 et les versions futures), tous les objets nouvellement créés appartiennent à leur créateur.
C'est non limité aux dossiers La liste de contrôle d'accès : presque tout peut être associé à une liste de contrôle d'accès. Exemples : tuyaux nommés, clés de registre, processus, services, bureaux, périphériques, mutex...
-
A moins que quelqu'un d'autre prend la responsabilité . (Les administrateurs peuvent le faire en utilisant
SeTakeOwnershiples non-administrateurs peuvent en prendre la propriété si l'ACL de l'objet le permet). -
Sur éditions du serveur de Windows NT, les administrateurs peuvent attribuer la propriété des objets à un autre utilisateur. Les éditions grand public (telles que Windows XP ou 7) permettent uniquement de s'approprier la propriété.
-
Sur Windows 2000 et antérieur Si le créateur est membre du groupe Administrateurs, les objets qu'il crée sont les suivants sera la propriété des administrateurs, et non de l'utilisateur . Cela a changé dans Windows XP où l'utilisateur sera toujours propriétaire des objets qu'il crée.
Pour la plupart des types d'objets, vous pouvez même activer audit qui fait que toutes les opérations sur l'objet sont enregistrées dans le journal de sécurité. (Vous pouvez choisir les opérations à consigner).
Pour les fichiers, cela peut être fait dans Propriétés - Sécurité - Avancé - Audit . Utiliser l'Observateur d'événements ( eventvwr.exe ) pour voir les entrées du journal.
