我想找出某个文件的创建者,但在“安全”选项卡下,我只能看到管理员组被指出是所有者。这没什么帮助。我如何才能知道谁真正创建了该文件?
顺便说一句。我偶然发现了这两个链接:
http://help.lockergnome.com/windows2/Find-created--ftopict442233.html
http://www.eggheadcafe.com/software/aspnet/31793852/find-what-user-created-a-folder-or-file.aspx
但我很难相信 Windows 不关心谁真正创建了文件或文件夹。
答案1
通常,“所有者”是创建者,但由于用户属于管理员组,因此所有管理员都被授予所有者权限(这样,当管理员离开组织时,文件系统上就不会出现只有 root 才能删除等的孤立文件)。这不是 Windows 本身的问题,而是 NTFS 的问题 - 并且额外的创建者字段会很好。如果您需要进行更深入的取证分析,专有数据格式(office:.doc(x)、.xls(x) 等)通常会包含一些关于创建者的元数据。为此,值得注意的是,office 2007+ 格式只是压缩的 xml 文件和目录(将文件扩展名更改为 .zip 或...使用您选择的 gunzip 程序打开)
答案2
Windows 与其他操作系统没有什么不同,在 Linux 中,所有文件都属于一个用户,但如果您有足够的权限,您可以更改它,因此您可以创建一个文件并将其分配给另一个用户。
另外,请注意,在某些情况下,不可能知道实际创建者:例如,如果你复制公共共享文件夹中的文件,谁是该文件的所有者?你创建了该文件,但你的用户不存在在存储文件的计算机中,因此它无法将文件分配给您。
嗯,该文件在共享文件夹中吗?也许这就是为什么将文件分配给组而不是指定用户的原因。