Det är en fin liten funktion som är inbyggd i Windows som låter dig spåra när någon visar, ändrar eller tar bort något i en viss mapp. Så om det finns en mapp eller fil som du vill veta vem som har tillgång till, då detta är den inbyggda metoden utan att behöva använda programvara från tredje part.
Denna funktion är faktiskt en del av en Windows-säkerhet funktion som heter Group Policy, som används av de flesta IT-personal som hanterar datorer i företagets nätverk via servrar, men det kan också användas lokalt på en PC utan några servrar. Den enda nackdelen med att använda Koncernens Policy är att den inte är tillgänglig i lägre versioner av Windows. För Windows 7, måste du ha Windows 7 Professional eller högre. För Windows 8, du behöver Pro eller Företag.
Begreppet Grupp Politik som i grunden syftar till en uppsättning inställningar i registret som kan styras via ett grafiskt användargränssnitt. Du kan aktivera eller inaktivera olika inställningar och dessa redigeringar sedan uppdateras i Windows-registret.
I Windows XP för att få till den politiska redaktör, klicka på Start och sedan Kör. I textrutan skriver du “gpedit.msc” utan citattecken, som visas nedan:
I Windows 7, ska du bara klicka på Start-knappen och skriv gpedit.msc i sökrutan längst ned i Start-Menyn. I Windows 8, helt enkelt gå till startskärmen och börja skriva eller flytta muspekaren längst upp eller längst ned till höger på skärmen för att öppna Charms bar och klicka på Sök. Sedan skriv bara i gpedit. Nu bör du se något som liknar bilden nedan:
Det finns två huvudsakliga kategorier av åtgärder: Användaren och Datorn. Som du kanske har gissat, användaren politik kontrollera inställningarna för varje användare medan datorn inställningar kommer att vara systemomfattande inställningar och kommer att påverka alla användare. I vårt fall kommer vi att ha vår inställning till att vara för alla användare, så kommer vi att expandera datorkonfiguration avsnitt.
Fortsätta expandera till Windows-Inställningar -> Security Settings -> Lokala principer -> Revisionen. Jag tänker inte förklara mycket av andra inställningar här eftersom detta är främst inriktad på revision i en mapp. Nu kommer du att se en uppsättning av olika åtgärder och deras nuvarande inställningar på höger sida. Revisionen är vad som styr huruvida eller inte operativsystemet är konfigurerad och klar att spåra ändringar.
Nu kontrollera inställningen för objektsåtkomst genom att dubbelklicka på det och välja både Framgång och Misslyckande. Klicka på OK och nu har vi gjort den första delen som talar om för Windows att vi vill att det ska vara redo för att övervaka förändringar. Nu är nästa steg är att tala om för den EXAKT vad vi vill spåra. Du kan stänga av grupprincip konsolen nu.
Nu navigera till mappen med hjälp av Utforskaren i Windows som du vill bevaka. I Utforskaren, högerklicka på mappen och klicka på Egenskaper. Klicka på Fliken Säkerhet och du se något liknande detta:
Nu klicka på Avancerat knappen och klicka på Revision fliken. Det är där vi ska faktiskt ställa in vad vi vill ha för att kontrollera den här mappen.
Gå vidare och klicka på Lägg till – knappen. En dialogruta visas och ber dig att markera en Användare eller Grupp. I den rutan skriver du ordet “användare” och klicka på Kontrollera Namn. Rutan uppdateras automatiskt med namnet på den lokala gruppen användare för datorn i form DATORNAMNAnvändare.
Klicka på OK och nu kommer du få en dialog med namnet “Revision Inlägg för X“. Detta är den verkliga kött av vad vi har velat göra. Här är där du ska välja vad du vill titta på för den här mappen. Du kan individuellt välja vilken typ av aktivitet du vill spåra, som att ta bort eller skapa nya filer och mappar, etc. För att göra saker och ting lättare, jag föreslår att du väljer Full Kontroll, som automatiskt kommer att markera alla andra alternativ nedan. Gör detta för Framgång och Misslyckande. På detta sätt, vad som är gjort till mappen eller filerna i den, du kommer att ha ett rekord.
Klicka nu på OK och på OK igen och sedan på OK en gång till för att få ut av flera dialogrutan set. Och nu har du konfigurerat revision på en mapp! Så du kan fråga, hur gör du för att visa händelserna?
För att se evenemang, du måste gå till Kontrollpanelen och klicka på administrationsverktyg. Öppna loggboken. Klicka på Säkerhet avsnitt och du kommer att se en stor lista av händelser på höger sida:
Om du gå vidare och skapa en fil eller öppna bara mappen och klicka på knappen Uppdatera i loggboken (knappen med de två gröna pilar), kommer du att se en massa händelser i kategorin File System. Dessa avser något radera, skapa, läsa, skriva operationer på mappar/filer du är revision. I Windows 7, allt som nu dyker upp under File System uppgift om kategori, så för att se vad som hände, måste du klicka på var och en och bläddra igenom den.
För att göra det lättare att titta genom så många evenemang, du kan sätta ett filter och se bara viktiga saker. Klicka på Visa – menyn högst upp och klicka på Filter. Om det inte finns något alternativ för att Filtrera, högerklicka sedan på Säkerhet-logga i vänster sida och välj Filtrera Aktuell Logg. I Händelse-ID-fält för att skriva in numret 4656. Detta är den händelse som är associerad med en viss användare som utför en Fil System åtgärd och kommer att ge dig relevant information utan att behöva titta igenom tusentals poster.
Om du vill få mer information om en händelse, helt enkelt dubbelklicka på den för att visa.
Detta är information från skärmen ovan:
En referens till ett objekt begärdes.
Ämne:
Säkerhets-ID: Aseem-LenovoAseem
Kontonamn: Aseem
Domän: Aseem-Lenovo
Inloggning-ID: 0x175a1
Objekt:
Object Server: Säkerhet
Objekttyp: Fil
Objekt Namn: C:UsersAseemDesktopTufuNew Sms: A Document.txt
Hantera ID: 0x16a0
Bearbeta Information:
Process-ID: 0x820
Namn: C:Windowsexplorer.exe
Tillgång Till Request-Information:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Åtkomst: ta BORT
SYNKRONISERA
ReadAttributes
I exemplet ovan kommer filen arbetade på var Ny Text Document.txt i Tufu mapp på mitt skrivbord, och de öppningar som jag önskade fick ta BORT följt av SYNKRONISERA. Vad jag gjorde här var att ta bort filen. Här är ett annat exempel:
Objekttyp: Fil
Objekt Namn: C:UsersAseemDesktopTufuAddress Labels.docx
Hantera ID: 0x178
Bearbeta Information:
Process-ID: 0x1008
Namn: C:Program Files (x86)Microsoft OfficeOffice14WINWORD.EXE
Tillgång Till Request-Information:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Åtkomst: READ_CONTROL
SYNKRONISERA
ReadData (eller ListDirectory)
WriteData (eller AddFile)
AppendData (eller AddSubdirectory eller CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Tillgång Skäl: READ_CONTROL: Beviljade genom Ägande
SYNKRONISERA: Ges av D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)
När du läser igenom detta, som du kan se jag nås Adress Labels.docx hjälp WINWORD.EXE program och mina öppningar ingår READ_CONTROL och min tillgång skäl var också READ_CONTROL. Vanligtvis kommer du att se ett gäng fler ingångar, men bara fokusera på den första så det är oftast den viktigaste typen av tillgång. I det här fallet, jag bara öppnade filen med hjälp av Ord. Det tar lite tester och läsa igenom de evenemang för att förstå vad som händer, men när du har det, det är ett mycket driftsäkert system. Jag föreslår att du skapar ett test mapp med filer och utföra olika åtgärder, för att se vad som dyker upp i loggboken.
Det är ganska mycket det! En snabb och gratis sätt att spåra tillgång till eller ändras till en mapp!