Windowsissa^(Windows) on mukava pieni ominaisuus, jonka avulla voit seurata, milloin joku tarkastelee, muokkaa tai poistaa jotakin tietyn kansion sisällä. Joten jos haluat tietää, kuka käyttää kansiota tai tiedostoa, tämä on sisäänrakennettu menetelmä ilman kolmannen osapuolen ohjelmistoja.

Tämä ominaisuus on itse asiassa osa Windowsin^(Windows) suojausominaisuutta nimeltä Group Policy , jota useimmat IT-ammattilaiset^{(IT Professionals)} käyttävät, jotka hallitsevat yritysverkon tietokoneita palvelimien kautta, mutta sitä voidaan käyttää myös paikallisesti tietokoneessa ilman palvelimia. Ainoa haittapuoli ryhmäkäytännön käytössä on, että se ei ole saatavilla ^{(Group Policy)}Windowsin^(Windows) alemmissa versioissa . Windows 7 -käyttöjärjestelmää^{(Windows 7)} varten sinulla on oltava Windows 7 Professional tai uudempi. Windows 8 :a varten tarvitset Pron tai Enterprisen^(Enterprise) .

Termi ryhmäkäytäntö^{(Group Policy)} viittaa periaatteessa joukkoon rekisteriasetuksia, joita voidaan hallita graafisen käyttöliittymän kautta. Otat käyttöön tai poistat käytöstä erilaisia asetuksia, ja nämä muutokset päivitetään Windowsin^(Windows) rekisteriin.

Windows XP : ssä pääset käytäntöeditoriin napsauttamalla Käynnistä^(Start) ja sitten Suorita^(Run) . Kirjoita tekstiruutuun " gpedit.msc " ilman lainausmerkkejä alla olevan kuvan mukaisesti:

ajaa gpedit

Windows 7 : ssä napsautat Käynnistä^(Start) - painiketta ja kirjoitat gpedit.msc Käynnistä-valikon^{(Start Menu)} alareunassa olevaan hakukenttään . Windows 8 : ssa siirry aloitusnäyttöön^{(Start Screen)} ja aloita kirjoittaminen tai siirrä hiiren osoitin näytön oikeaan ylä- tai alaosaan avataksesi Charms - palkin ja napsauta Hae^(Search) . Kirjoita sitten gpedit . Nyt sinun pitäisi nähdä jotain, joka on samanlainen kuin alla oleva kuva:

ryhmäkäytäntöeditori

Käytäntöjä on kaksi pääluokkaa: Käyttäjä^(User) ja tietokone^(Computer) . Kuten saatat arvata, käyttäjäkäytännöt ohjaavat kunkin käyttäjän asetuksia, kun taas tietokoneen asetukset ovat koko järjestelmän asetuksia ja vaikuttavat kaikkiin käyttäjiin. Meidän tapauksessamme haluamme asetuksemme olevan kaikille käyttäjille, joten laajennamme Tietokoneen asetukset^{(Computer Configuration)} -osiota.

Jatka laajentamista kohtaan Windows-asetukset^{(Windows Settings)} -> Security Settings -> Local Policies -> Audit Policy . En aio selittää paljon muita asetuksia tässä, koska tämä keskittyy ensisijaisesti kansion tarkastamiseen. Nyt näet joukon käytäntöjä ja niiden nykyiset asetukset oikealla puolella. Tarkastuskäytäntö määrittää, onko käyttöjärjestelmä määritetty ja valmis seuraamaan muutoksia.

tarkastusobjektin pääsy

Tarkista nyt Audit Object Accessin^{(Audit Object Access )} asetus kaksoisnapsauttamalla sitä ja valitsemalla sekä Onnistuminen^(Success) että Epäonnistuminen^(Failure) . Napsauta OK^{(Click OK)} ja nyt olemme tehneet ensimmäisen osan, joka kertoo Windowsille, että haluamme sen olevan valmis seuraamaan muutoksia. Nyt seuraava askel on kertoa sille, mitä haluamme TARKASTAN seurata. ^(EXACTLY)Voit sulkea ryhmäkäytäntökonsolin^{(Group Policy)} nyt.

Siirry nyt kansioon Windowsin Resurssienhallinnan^{(Windows Explorer)} avulla , jota haluat seurata. Napsauta Resurssienhallinnassa^(Explorer) kansiota hiiren kakkospainikkeella ja napsauta Ominaisuudet^(Properties) . Napsauta Suojaus-välilehteä^{( Security Tab)} ja näet jotain tämän kaltaista:

Explorerin suojausvälilehti

Napsauta nyt Lisäasetukset^(Advanced) - painiketta ja napsauta Tarkastus^(Auditing) - välilehteä. Tässä me itse asiassa määritämme, mitä haluamme valvoa tälle kansiolle.

välilehtien ikkunat

Siirry eteenpäin ja napsauta Lisää^(Add) - painiketta. Näyttöön tulee valintaikkuna, jossa sinua pyydetään valitsemaan käyttäjä^(User) tai ryhmä^(Group) . Kirjoita ruutuun sana " käyttäjät^(users) " ja napsauta Tarkista nimet^{(Check Names)} . Laatikko päivittyy automaattisesti tietokoneesi paikallisen käyttäjäryhmän nimellä muodossa COMPUTERNAME\Users .

käyttäjäryhmän käyttöoikeudet

Napsauta OK^{(Click OK)} ja nyt saat toisen valintaikkunan nimeltä " Tarkastusmerkintä X:lle^{(Audit Entry for X)} ". Tämä on todellinen liha sille, mitä olemme halunneet tehdä. Täältä voit valita, mitä haluat katsella tässä kansiossa. Voit valita yksilöllisesti, minkä tyyppisiä toimintoja haluat seurata, kuten poistaa tai luoda uusia tiedostoja/kansioita jne. Asioiden helpottamiseksi suosittelen valitsemaan Full Control , joka valitsee automaattisesti kaikki muut vaihtoehdot sen alla. Tee tämä onnistumisen^(Success) ja epäonnistumisen^(Failure) vuoksi . Tällä tavalla sinulla on tietue, mitä tälle kansiolle tai sen sisältämille tiedostoille tehdään.

tarkastuslupien tutkija

Napsauta nyt OK ja napsauta OK uudelleen ja OK vielä kerran päästäksesi pois useiden valintaikkunoiden joukosta. Ja nyt olet onnistuneesti määrittänyt kansion auditoinnin! Joten saatat kysyä, kuinka näet tapahtumat?

Voit tarkastella tapahtumia siirtymällä Ohjauspaneeliin^{(Control Panel)} ja napsauttamalla Hallintatyökalut^{(Administrative Tools)} . Avaa sitten Event Viewer . Napsauta Suojaus^(Security) -osiota ja näet suuren luettelon tapahtumista oikealla puolella:

tapahtumien katsojan suojaus

Jos luot tiedoston tai yksinkertaisesti avaat kansion ja napsautat Päivitä^(Refresh) - painiketta Tapahtumanvalvonta^{(Event Viewer)} -ohjelmassa (painike, jossa on kaksi vihreää nuolta), näet joukon tapahtumia kategoriassa Tiedostojärjestelmä^{( File System)} . Nämä koskevat kaikkia tarkastettavien kansioiden/tiedostojen poisto-, luonti-, luku- ja kirjoitustoimintoja. Windows 7 : ssä kaikki näkyy nyt Tiedostojärjestelmän^{(File System)} tehtäväluokassa, joten nähdäksesi mitä tapahtui, sinun on napsautettava kutakin ja vieritettävä sitä.

Jotta monien tapahtumien läpikäyminen olisi helpompaa, voit laittaa suodattimen ja nähdä vain tärkeät asiat. Napsauta^(Click) Näytä- valikkoa^(View) yläreunassa ja napsauta Suodata^(Filter) . Jos Suodata^(Filter) - vaihtoehtoa ei ole , napsauta hiiren kakkospainikkeella suojauslokia^(Security) vasemmalla olevalla sivulla ja valitse Suodata nykyinen loki^{(Filter Current Log)} . Kirjoita Tapahtumatunnus^{(Event ID)} - ruutuun numero 4656 . Tämä tapahtuma liittyy tiettyyn käyttäjään, joka suorittaa tiedostojärjestelmätoiminnon, ^{(File System )} ja antaa sinulle tarvittavat tiedot ilman, että sinun tarvitsee selata tuhansia merkintöjä.

suodatinloki

Jos haluat saada lisätietoja tapahtumasta, tuplaklikkaa sitä nähdäksesi.

tapahtumatunnuksen poistaminen

Nämä ovat tiedot yllä olevasta näytöstä:

Pyydettiin kahvaa esineelle.^{(A handle to an object was requested.)}

Aihe: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
tilin nimi: Aseem ^{( Account Name: Aseem)}
-tilin verkkotunnus: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
Kirjautumistunnus: 0x175a1^{( Logon ID: 0x175a1)}

Objekti: ^(Object:)
Objektipalvelin: Suojaus ^{( Object Server: Security)}
Objektin tyyppi: Tiedostoobjektin ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Käsitteen tunnus: 0x16a0^{( Handle ID: 0x16a0)}

Prosessitiedot: ^{(Process Information:)}
Prosessin tunnus: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Pääsypyynnön tiedot: ^{(Access Request Information:)}
Tapahtumatunnus: 00000000-0000-0000-0000-000000000000} Käyttöoikeudet ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
: POISTA ^{( Accesses: DELETE)}
SYNKRONOINTI ^{( SYNCHRONIZE)}
lukuattribuutit^{( ReadAttributes)}

Yllä olevassa esimerkissä käsitelty tiedosto oli New Text Document.txt työpöydälläni Tufu- kansiossa ja pyytämiäni käyttöoikeuksia olivat DELETE ja SYNCHRONIZE . Mitä tein tässä oli poistaa tiedosto. Tässä on toinen esimerkki:

Objektin tyyppi: Tiedostoobjektin ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Kahvan tunnus: 0x178^{( Handle ID: 0x178)}

Prosessitiedot: ^{(Process Information:)}
Prosessin tunnus: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Käyttöoikeuspyynnön tiedot: ^{(Access Request Information:)}
Tapahtumatunnus: 00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Käyttöoikeudet: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNKRONOI ^{( SYNCHRONIZE)}
ReadData (tai ListDirectory ) WriteData ( ^{( ReadData (or ListDirectory))}
tai AddFile) ^{( WriteData (or AddFile))}AppendData ^{( WriteAttributes)}
(tai WriteAttributes ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}) ^{( ReadAttributes)}
ReadAttributes ^{( ReadEA)}
Reader^{( WriteEA)}

Pääsyn syyt: READ_CONTROL: Omistajan myöntämä SYNKRONOI: Myöntäjä ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Kun luet tätä läpi, näet, että käytin Address Labels.docx -tiedostoa WINWORD.EXE ^{(Address Labels.docx)}-^{(WINWORD.EXE)} ohjelman avulla ja pääsyni olivat READ_CONTROL ja pääsyyni olivat myös READ_CONTROL . Yleensä näet useampia käyttöoikeuksia, mutta keskity vain ensimmäiseen, koska se on yleensä pääsyn päätyyppi. Tässä tapauksessa avasin tiedoston Wordilla^(Word) . Vaatii hieman testausta ja tapahtumien lukemista ymmärtääksesi, mitä tapahtuu, mutta kun se on käsitelty, se on erittäin luotettava järjestelmä. Suosittelen luomaan testikansion tiedostoineen ja suorittamaan erilaisia toimintoja nähdäksesi, mitä tapahtumanvalvontaohjelmassa^{(Event Viewer)} näkyy .

Siinä se aika pitkälti! Nopea ja ilmainen tapa seurata kansion käyttöä tai muutoksia!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Windows that allows you to track whеn someone views, edits, or deletes something inside of a ѕpecified folder. So if there’s a folder or file that you want to know who is aсcessіng, then this is the built-in method without having to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

run gpedit

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

group policy editor

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

audit object access

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

explorer security tab

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

auditing tab windows

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

user group permissions

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

audit permissions explorer

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

event viewer security

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

filter log

If you want to get more information about an event, simply double click on it to view.

event id delete

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Sofia Heinonen

About the author

Olen ammattimainen Windows- ja toimistoohjelmistojen arvioija. Minulla on syvät tiedot näistä ohjelmista sekä niiden erilaisista ominaisuuksista ja ominaisuuksista. Arvosteluni ovat objektiivisia ja yksityiskohtaisia, jotta potentiaaliset asiakkaat näkevät, kuinka hyvin ohjelma toimii ja mitä parannuksia voitaisiin tehdä. Haluan myös auttaa ihmisiä löytämään parhaat sovellukset heidän tarpeisiinsa – joko arvostelujen kautta tai löytämään parhaat tarjoukset sovelluksista.

Kuinka seurata, kun joku käyttää tietokoneesi kansiota

How to Track When Someone Accesses a Folder on Your Computer

Sofia Heinonen

About the author

Related posts

Suojatun ja lukitun kansion luominen Windows XP:ssä

Työpöydän kuvakeasettelun tallentaminen Windows XP, 7, 8:ssa

Puuttuva tai vioittunut NTFS.sys -virheen korjaaminen Windows XP:ssä

Windows XP- tai Windows Server 2003 -tietokoneen etäkäyttö

Asenna verkkotulostin Windows XP:stä ohjaimen asennuksen avulla

Liitä VHD-tiedosto Windows XP:ssä

Kansion oletuskuvakkeen muuttaminen tai palauttaminen Windows 11/10:ssä

Määritä tai poista käytöstä DEP (Data Execution Prevention) Windowsissa

Julkisten kansioiden jakamisen kytkeminen päälle tai pois päältä Windows 11/10:ssä

Ohjelman lisääminen käynnistykseen Windows XP:ssä

Kuinka löytää tietokoneesi malli Windowsissa

Microsoft Teams ei avaudu tietokoneellasi? 9 Korjauksia kokeilla

Windowsin Ohjauspaneeli - Kuinka vaihtaa perinteiseen Windows XP -näkymään

15 vinkkiä tietokoneen nopeuden lisäämiseen

Kuinka käyttää Obsidiania henkilökohtaisena Wikinä tietokoneellasi

Korjauskansiota ei ole olemassa - Alkuperävirhe Windows PC:ssä

Kuinka piilottaa muut WiFi-verkot, kun muodostat yhteyden tietokoneeseesi

Windows ei voi käyttää jaettua kansiota tai asemaa Windows 11/10:ssä

Windows 8.1 RTM:n asentaminen tietokoneeseen

Windows 8 RTM:n asentaminen tietokoneellesi -