有没有办法确定哪个用户在具有 NTFS 的 Win XP 上创建了文件?
答案1
NTFS 上的所有文件都有一个“所有者“显示在
- 这所有者Explorer 的“详细”视图中的列(必须手动添加;右键单击标题)
- 属性 - 安全 - 高级 - 所有权(在 XP 专业版中)
dir/q
在命令提示符下
在 Windows NT(从 NT 3.1 开始,包括 XP、2003、Vista、7 和未来版本)上,所有新创建的对象都归其创建者所有。
这是不限于文件:几乎所有事物都可以附加 ACL。示例:命名管道、注册表项、进程、服务、桌面、设备、互斥锁...
除非有其他人承担责任(管理员可以使用
SeTakeOwnership
特权来执行此操作;如果对象的 ACL 允许,非管理员可以获得所有权。)在服务器版本Windows NT 中,管理员可以分配对象所有权给另一个用户。消费者版本(例如 Windows XP 或 7)只允许自己拥有所有权。
在Windows 2000 及更早版本版本,如果创建者是管理员组的成员,则他创建的对象将归管理员所有,而不是用户。这在 Windows XP 中发生了变化,用户将永远拥有他所创建的对象。
对于大多数对象类型,您甚至可以启用审计,这会导致对象上的所有操作都记录到安全日志中。(您可以选择要记录哪些操作。)
对于文件,这可以在属性 - 安全 - 高级 - 审计. 使用事件查看器 ( eventvwr.exe
) 查看日志条目。