在 Windows 10 系统上运行以下命令时:
fsutil behavior query disablelastaccess
它返回
DisableLastAccess = 3 (System Managed, Enabled)
我从未手动设置过此值,我似乎无法找出“3”的值是什么意思。我偶然发现了https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-behavior其中只提到 0/1 作为选项
是否有文档提到“3”的值的含义?
答案1
在命令提示符中输入:
fsutil behavior set DisableLastAccess
按回车键,你将获得以下输出:
值:
0 - 用户管理,上次访问更新已启用
1 - 用户管理,上次访问更新已禁用
2 - 系统管理,上次访问更新已启用
3 - 系统管理,上次访问更新已禁用
答案2
过时的文档包含以下信息:
Fsutil 行为
该disablelastaccess参数减少了日志更新对最后访问时间文件和目录上的标记。禁用最后访问时间此功能可提高文件和目录访问的速度。此参数会更新以下注册表项:
HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate
笔记:
基于文件最后访问时间即使磁盘上的所有值都不是最新的,查询也是准确的。NTFS 会在查询时返回正确的值,因为准确的值存储在内存中。
NTFS 延迟更新的最大时间是一小时最后访问时间磁盘上。如果 NTFS 更新其他文件属性,例如最后修改时间,以及最后访问时间更新正在等待,NTFS 更新最后访问时间与其他更新一起进行,不会对性能产生额外影响。
该
disableLastAccess参数可能会影响依赖此功能的程序(例如备份和远程存储)。
至于系统管理相对用户管理, 基本上系统管理模式意味着系统将您选择的相应启用/禁用状态视为仅建议。基本上,每次系统启动时,它都会LastAccessTime根据经验因素决定是否启用或禁用更新,可能会覆盖您的建议。
从https://dfir.ru/2018/12/08/the-last-access-updates-are-almost-back/(经过修饰)...
在里面系统管理模式,NTFS 驱动程序可以启用或禁用最后访问时间在启动期间更新(特别是在安装系统卷时)。最后访问时间已为 NTFS 卷启用更新当系统卷的大小为 128 GiB 或更小。如果系统体积较大,则最后访问时间更新已被禁用。
可以通过将整数写入以下内容来修改卷大小阈值:
HKLM\SYSTEM\CurrentControlSet\Control\FileSystemNtfsLastAccessUpdatePolicyVolumeSizeThreshold
整数必须以 GiB(而不是字节)为单位指定新阈值。默认情况下,注册表项不存在。
使用用户管理模式,如果你想控制的状态最后访问时间更新,并且您不希望系统在启动期间覆盖您的选择。