关于 Windows 中的“权限”,是否可以追踪或确定“谁”实际上在改变某些东西?(即确定哪个用户正在使用他们各自的权限修改某些东西)
例如,进程监视器可以看到某些注册表项正在被访问和设置,但是否也可以确定WHO(哪个用户)正在进行访问/修改?
我正在尝试追踪正在更改某些内容的精确用户帐户,而不是通过反复试验随意锁定权限表中的各个帐户。
答案1
使用 regedt32.exe 实用程序可以对注册表的某些部分设置审核。
- 启动注册表编辑器(regedt32.exe)
- 选择您想要审核的键(例如 HKEY_LOCAL_MACHINE\Software)从安全菜单中选择审核
- 如果您希望子项也受到审核,请选中“对现有子项的审核权限”
- 单击添加按钮,选择要审核的用户,单击添加,然后单击确定
- 一旦“名称”框中有了名称,您就可以选择要审核的事件,无论是成功还是失败。
- 填写完所有信息后,单击“确定”
您需要确保已启用文件和对象访问审核(使用用户管理器 - 策略 - 审核)。
要查看信息,请使用事件查看器并查看安全信息。
有一个Microsoft 支持文章解释了如何设置审核。它使用本地策略编辑器,而 Windows 7 Home 上没有该编辑器。