我在Windows环境(XP)上只有普通用户的权限,想请教以下问题。
所有访问日志文件(文本)的尝试是否都记录在某处?
是否记录了任何删除日志文件的尝试?
有哪些可用的命令行方式来修改日志文件?
默认情况下,我(普通用户)对日志文件和文件夹有哪些权限?
如果没有管理员权限,我还能修改日志文件或文件夹吗?
假设我处于另一个环境(Exchange Server 2003)中,并且我只有普通用户的权限,上述问题的答案会有什么不同吗?
答案1
所有访问日志文件(文本)的尝试是否都记录在某处?
Windows 事件日志是查看所有已记录内容的地方。
Control Panel\Administrative Tools\Event Viewer就是你去看它们的地方。不幸的是,只有部分无需管理员权限即可查看这些内容。
当然,特定应用程序可能选择不使用事件日志,而是使用自己的文件。在这种情况下,您是否有权访问它们将取决于应用程序安装和组策略设置。
除非安装了其他专门用于执行此操作的工具,否则不会记录对应用程序日志文件的访问。
是否记录了任何删除日志文件的尝试?
除非由于文件的安全设置导致尝试失败,否则将记录为审核失败。或者如果安装了审核实用程序并设置为监视文件。
有哪些可用的命令行方式来修改日志文件?
不清楚你的意思。基于文本的应用程序日志文件只是文本,假设它们没有被保留锁定(例如,应用程序已锁定文件以进行读取或写入),它们可以通过任何编辑文本的命令(例如记事本)进行编辑,并通过通常的删除命令删除。或者你可以:
echo "rubbish" >c:\some\folder\filename.log其内容将被垃圾取代。
这一切都取决于非管理员用户是否能够访问文件,而这又取决于特定的应用程序安装和组策略设置(假设您是 Windows 域的一部分)。它还可能取决于管理员对文件/文件夹应用的特定设置。
Windows 事件日志略有不同,普通用户可以读取某些日志(例如应用程序日志)但不能更改它们。
默认情况下,我(普通用户)对日志文件和文件夹有哪些权限?
如上所述,如果这是 Windows 事件日志之外的应用程序日志文件,则实际上无法预测这一点。如果您在 Windows 资源管理器中导航到该文件,请右键单击该文件并选择“属性”。安全选项卡将显示您拥有的权限。
对于 Windows 事件日志,用户对应用程序、系统日志具有只读访问权限。如果安装了特定应用程序,他们可能拥有其他访问权限。例如,Internet Explorer 有自己的日志。但是,他们无权访问安全日志。但是,这些设置可以在组策略中更改。
如果没有管理员权限,我还能修改日志文件或文件夹吗?
请参阅上面的答案。
假设我处于另一个环境(Exchange Server 2003)中,并且我只有普通用户的权限,上述问题的答案会有什么不同吗?
是的!也许/很可能!您不太可能对 Exchange Server 有任何访问权限,因为您实际上不需要直接登录 Exchange Server,而只需使用 Outlook 等客户端即可。您不应该有任何直接访问权限。