Det finns en trevlig liten funktion inbyggd i Windows som låter dig spåra när någon visar, redigerar eller tar bort något i en viss mapp. Så om det finns en mapp eller fil som du vill veta vem som har åtkomst till, så är detta den inbyggda metoden utan att behöva använda programvara från tredje part.

Denna funktion är faktiskt en del av en Windows -säkerhetsfunktion som kallas Group Policy , som används av de flesta IT-proffs^{(IT Professionals)} som hanterar datorer i företagsnätverket via servrar, men den kan även användas lokalt på en PC utan några servrar. Den enda nackdelen med att använda gruppolicy^{(Group Policy)} är att den inte är tillgänglig i lägre versioner av Windows . För Windows 7 måste du ha Windows 7 Professional eller högre. För Windows 8 behöver du Pro eller Enterprise .

Termen gruppolicy^{(Group Policy)} syftar i grunden på en uppsättning registerinställningar som kan styras via ett grafiskt användargränssnitt. Du aktiverar eller inaktiverar olika inställningar och dessa redigeringar uppdateras sedan i Windows -registret.

I Windows XP , för att komma till policyredigeraren, klicka på Start och sedan Kör^(Run) . I textrutan skriver du " gpedit.msc " utan citattecken som visas nedan:

I Windows 7 klickar du bara på Start -knappen och skriver gpedit.msc i sökrutan längst ner på Start-menyn^{(Start Menu)} . I Windows 8 går du helt enkelt till startskärmen^{(Start Screen)} och börjar skriva eller flyttar muspekaren längst upp eller längst ner till höger på skärmen för att öppna charmfältet^(Charms) och klicka på Sök^(Search) . Sedan är det bara att skriva in gpedit . Nu bör du se något som liknar bilden nedan:

Det finns två huvudkategorier av policyer: Användare^(User) och Dator^(Computer) . Som du kanske har gissat styr användarpolicyerna inställningarna för varje användare medan datorinställningarna kommer att vara systemomfattande inställningar och påverkar alla användare. I vårt fall kommer vi att vilja att vår inställning ska vara för alla användare, så vi utökar avsnittet Datorkonfiguration .^{(Computer Configuration)}

Fortsätt att expandera till Windows-inställningar^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Jag tänker inte förklara mycket av de andra inställningarna här eftersom det här främst är inriktat på att granska en mapp. Nu ser du en uppsättning policyer och deras nuvarande inställningar till höger. Revisionspolicy är det som styr huruvida operativsystemet är konfigurerat och redo att spåra ändringar.

Kontrollera nu inställningen för Audit Object Access genom att dubbelklicka på den och välja både Framgång^(Success) och Misslyckande^(Failure) . Klicka på OK^{(Click OK)} och nu är vi klara med den första delen som talar om för Windows att vi vill att den ska vara redo att övervaka ändringar. Nu är nästa steg att berätta vad EXAKT^(EXACTLY) vi vill spåra. Du kan stänga av grupprincipkonsolen^{(Group Policy)} nu.

Navigera nu till mappen med Windows Explorer som du vill övervaka. I Utforskaren^(Explorer) högerklickar du på mappen och klickar på Egenskaper^(Properties) . Klicka på säkerhetsfliken^{( Security Tab)} och du ser något liknande detta:

Klicka nu på knappen Avancerat^(Advanced) och klicka på fliken Revision . ^(Auditing)Det är här vi faktiskt kommer att konfigurera vad vi vill övervaka för den här mappen.

Gå vidare och klicka på knappen Lägg till . ^(Add)En dialogruta visas som ber dig att välja en användare^(User) eller grupp^(Group) . I rutan skriver du in ordet " användare^(users) " och klickar på Kontrollera namn^{(Check Names)} . Rutan kommer automatiskt att uppdateras med namnet på den lokala användargruppen för din dator i formen COMPUTERNAME\Users .

Klicka på OK^{(Click OK)} och nu får du en annan dialogruta som heter " Revisionsinmatning för X^{(Audit Entry for X)} ". Det här är det verkliga köttet av vad vi har velat göra. Här väljer du vad du vill titta på för den här mappen. Du kan individuellt välja vilka typer av aktiviteter du vill spåra, som att ta bort eller skapa nya filer/mappar etc. För att göra det enklare föreslår jag att du väljer Full kontroll^{(Full Control)} , vilket automatiskt kommer att välja alla andra alternativ under den. Gör detta för framgång^(Success) och misslyckande^(Failure) . På detta sätt, vad som än görs med den mappen eller filerna i den, kommer du att ha en post.

Klicka nu på OK och klicka på OK igen och OK en gång till för att komma ur uppsättningen med flera dialogrutor. Och nu har du framgångsrikt konfigurerat revision på en mapp! Så du kanske frågar dig, hur ser du på händelserna?

För att se händelserna måste du gå till kontrollpanelen^{(Control Panel)} och klicka på Administrationsverktyg^{(Administrative Tools)} . Öppna sedan Event Viewer . Klicka på avsnittet Säkerhet^(Security) så ser du en stor lista med händelser till höger:

Om du går vidare och skapar en fil eller helt enkelt öppnar mappen och klickar på Uppdatera-^(Refresh) knappen i händelsevisaren^{(Event Viewer)} (knappen med de två gröna pilarna), kommer du att se ett gäng händelser i kategorin Filsystem^{( File System)} . Dessa hänför sig till alla raderings-, skapa-, läs-, skrivoperationer på mappar/filer du granskar. I Windows 7 visas nu allt under filsystemuppgiftskategorin^{(File System)} , så för att se vad som hände måste du klicka på var och en och bläddra igenom den.

För att göra det lättare att titta igenom så många händelser kan du sätta ett filter och bara se det viktiga. Klicka^(Click) på menyn Visa^(View) högst upp och klicka på Filter . Om det inte finns något alternativ för Filter högerklickar du på säkerhetsloggen^(Security) på vänster sida och väljer Filtrera aktuell logg^{(Filter Current Log)} . I rutan Händelse-ID^{(Event ID)} anger du numret 4656 . Detta är händelsen som är kopplad till en viss användare som utför en filsystemåtgärd ^{(File System )} och ger dig relevant information utan att behöva titta igenom tusentals poster.

Om du vill få mer information om ett evenemang, dubbelklicka helt enkelt på det för att se det.

Detta är informationen från skärmen ovan:

Ett handtag till ett föremål begärdes.^{(A handle to an object was requested.)}

Ämne: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
: ^{( Account Name: Aseem)}
Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
Inloggnings-ID: 0x175a1^{( Logon ID: 0x175a1)}

Objekt: ^(Object:)
Objekt Server: Säkerhet ^{( Object Server: Security)}
Objekttyp: Fil ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handtag ID: 0x16a0^{( Handle ID: 0x16a0)}

Processinformation:
Process-ID: 0x820 Processnamn ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Information om åtkomstbegäran: ^{(Access Request Information:)}
Transaktions-ID: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Åtkomster: DELETE ^{( Accesses: DELETE)}
SYNCHRONIZE
ReadAttributes

I exemplet ovan var filen som arbetade med New Text Document.txt i Tufu- mappen på mitt skrivbord och åtkomsterna som jag begärde var DELETE följt av SYNCHRONIZE . Det jag gjorde här var att ta bort filen. Här är ett annat exempel:

Objekttyp: Fil ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handtags-ID: 0x178^{( Handle ID: 0x178)}

Processinformation:
Process-ID: 0x1008 Processnamn ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Information om åtkomstbegäran: ^{(Access Request Information:)}Transaktions - ^{( WriteAttributes)}
ID: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Åtkomster: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (eller ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (eller AddFile) ^{( WriteData (or AddFile))}
AppendData (eller AddSubData (eller AddSubEditA ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}) ^{( ReadAttributes)}
WritePipeAtributes ^{( ReadEA)}
ReadPipeAtributes^{( WriteEA)}

Åtkomstskäl: READ_CONTROL: Beviljats ​​av ägande ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONIZE: Beviljat av D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

När du läser igenom detta kan du se att jag fick åtkomst till Address Labels.docx^{(Address Labels.docx)} med programmet WINWORD.EXE och mina åtkomster inkluderade READ_CONTROL och mina åtkomstskäl var också READ_CONTROL . Vanligtvis kommer du att se ett gäng fler åtkomster, men fokusera bara på den första eftersom det vanligtvis är den huvudsakliga typen av åtkomst. I det här fallet öppnade jag helt enkelt filen med Word . Det krävs lite testning och genomläsning av händelserna för att förstå vad som händer, men när du väl har det nere är det ett mycket tillförlitligt system. Jag föreslår att du skapar en testmapp med filer och utför olika åtgärder för att se vad som dyker upp i Event Viewer .

Det är ganska mycket det! Ett snabbt och gratis sätt att spåra åtkomst eller ändringar i en mapp!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Windоws that allows you to track when ѕomeonе views, edits, or deleteѕ somеthing inside of a specified folder. So if thеre’s a folder or file that you want to know who іs accessing, then this is the built-in mеthod without having tо use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Hur man skapar en säker och låst mapp i Windows XP

• Hur du sparar din skrivbordsikonlayout i Windows XP, 7, 8

• Så här åtgärdar du felet "saknas eller är korrupt NTFS.sys" i Windows XP

• Fjärråtkomst till en dator med Windows XP eller Windows Server 2003

• Installera en nätverksskrivare från Windows XP med hjälp av drivrutinsinställningarna

• Hur man ändrar eller återställer standardikonen för en mapp i Windows 11/10

• Fix mapp finns inte - Ursprungsfel på Windows PC

• Installera en nätverksskrivare från Windows XP med hjälp av guiden Lägg till skrivare

• Så här installerar du en nätverksskrivare i ditt hem- eller kontorsnätverk

• 15 tips för att öka datorns hastighet

• Hur man installerar en WordPress-testwebbplats på din dator

• Anslut en Windows XP-dator till en Windows 7/8/10-hemgrupp

• Fix registerredigering har inaktiverats av ditt administratörsfel

• msvcr120.dll Saknas på din dator? 8 sätt att fixa

• Hur man spelar Blu-Ray-skivor på din dator

• Gratis programvara för att ta bort tomma mappar i Windows 11/10

• Hur man ökar Windows Explorers standardminiatyrstorlek för bilder

• Konfigurera eller stänga av DEP (Data Execution Prevention) i Windows

• Topp 10 skillnader mellan Windows XP och Windows 7

• Bifoga en VHD-fil i Windows XP