Постоји лепа мала функција уграђена у Виндовс^(Windows) која вам омогућава да пратите када неко прегледа, измени или избрише нешто унутар одређене фасцикле. Дакле, ако постоји фасцикла или датотека којој желите да знате ко приступа, онда је ово уграђени метод без употребе софтвера треће стране.

Ова функција је заправо део безбедносне функције оперативног система Виндовс под називом ^(Windows)Гроуп Полици^{( Group Policy)} , коју користи већина ИТ професионалаца^{(IT Professionals)} који управљају рачунарима у корпоративној мрежи преко сервера, међутим, може се користити и локално на рачунару без икаквих сервера. Једина мана коришћења смерница групе^{(Group Policy)} је то што нису доступне у нижим верзијама оперативног система Виндовс^(Windows) . За Виндовс 7^{(Windows 7)} потребно је да имате Виндовс 7 ^{(Windows 7)} Профессионал^{(Professional)} или новији. За Виндовс 8^{(Windows 8)} , потребан вам је Про или Ентерприсе^(Enterprise) .

Термин групне политике^{(Group Policy)} се у основи односи на скуп подешавања регистратора који се могу контролисати преко графичког корисничког интерфејса. Омогућите или онемогућите различита подешавања и ове измене се затим ажурирају у Виндовс^(Windows) регистратору.

У оперативном систему Виндовс КСП^{(Windows XP)} , да бисте дошли до уређивача смерница, кликните на Старт^(Start) , а затим на Покрени^(Run) . У оквир за текст откуцајте „ гпедит.мсц^(gpedit.msc) “ без наводника као што је приказано у наставку:

У оперативном систему Виндовс 7^{(Windows 7)} , само бисте кликнули на дугме Старт^(Start) и откуцали гпедит.мсц^{( gpedit.msc)} у поље за претрагу на дну Старт менија^{(Start Menu)} . У оперативном систему Виндовс 8^{(Windows 8)} , једноставно идите на почетни екран^{(Start Screen)} и почните да куцате или померите курсор миша у крајњи горњи или доњи десни део екрана да бисте отворили траку са дугмадима^(Charms) и кликните на Сеарцх^(Search) . Затим само укуцајте гпедит^(gpedit) . Сада би требало да видите нешто што је слично слици испод:

Постоје две главне категорије смерница: корисник^(User) и рачунар^(Computer) . Као што сте могли да претпоставите, корисничке политике контролишу подешавања за сваког корисника, док ће подешавања рачунара бити системска подешавања и утицати на све кориснике. У нашем случају желимо да наша поставка буде за све кориснике, па ћемо проширити одељак Конфигурација рачунара .^{(Computer Configuration)}

Наставите са проширењем на Виндовс подешавања^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Нећу овде много објашњавати друге поставке јер је ово првенствено фокусирано на ревизију фасцикле. Сада ћете видети скуп смерница и њихова тренутна подешавања на десној страни. Политика ревизије је оно што контролише да ли је оперативни систем конфигурисан и спреман да прати промене.

Сада проверите поставку за приступ објекту ревизије^{(Audit Object Access )} тако што ћете двапут кликнути на њу и изабрати и успех^(Success) и неуспех^(Failure) . Кликните на ОК^{(Click OK)} и сада смо завршили први део који говори Виндовс-у да желимо да буде спреман за праћење промена. Сада је следећи корак да му кажемо шта ТАЧНО^(EXACTLY) желимо да пратимо. Сада можете да затворите конзолу групних смерница .^{(Group Policy)}

Сада идите до фасцикле користећи Виндовс Екплорер^{(Windows Explorer)} коју желите да надгледате. У Екплореру^(Explorer) кликните десним тастером миша на фасциклу и кликните на Својства^(Properties) . Кликните на картицу Безбедност^{( Security Tab)} и видећете нешто слично овоме:

Сада кликните на дугме Напредно^(Advanced) и кликните на картицу Ревизија^(Auditing) . Овде ћемо заправо конфигурисати шта желимо да надгледамо за ову фасциклу.

Само напред и кликните на дугме Додај^(Add) . Појавиће се дијалог у којем ће се тражити да изаберете корисника^(User) или групу^(Group) . У поље унесите реч „ корисници^(users) “ и кликните на Провери имена^{(Check Names)} . Поље ће се аутоматски ажурирати именом локалне групе корисника за ваш рачунар у облику COMPUTERNAME\Users .

Кликните на ОК^{(Click OK)} и сада ћете добити други дијалог под називом „ Унос ревизије за Кс^{(Audit Entry for X)} “. Ово је право месо онога што смо желели да урадимо. Овде ћете изабрати шта желите да гледате за ову фасциклу. Можете појединачно да изаберете које врсте активности желите да пратите, као што је брисање или креирање нових датотека/директоријума, итд. Да бисте олакшали ствари, предлажем да изаберете Потпуна контрола^{(Full Control)} , која ће аутоматски изабрати све друге опције испод. Урадите ово за успех^(Success) и неуспех^(Failure) . На овај начин, шта год да се уради са том фасциклом или датотекама у њој, имаћете запис.

Сада кликните на ОК и поново кликните на ОК и ОК још једном да изађете из скупа више дијалошких оквира. И сада сте успешно конфигурисали ревизију у фасцикли! Па бисте могли да питате, како гледате на догађаје?

Да бисте видели догађаје, потребно је да одете на контролну таблу^{(Control Panel)} и кликнете на Административни алати^{(Administrative Tools)} . Затим отворите Евент Виевер^{(Event Viewer)} . Кликните на одељак Безбедност^(Security) и видећете велики списак догађаја са десне стране:

Ако кренете и направите датотеку или једноставно отворите фасциклу и кликнете на дугме Освежи^(Refresh) у прегледнику догађаја^{(Event Viewer)} (дугме са две зелене стрелице), видећете гомилу догађаја у категорији Систем датотека^{( File System)} . Оне се односе на све операције брисања, креирања, читања, писања на фасцикле/датотеке које ревидирате. У оперативном систему Виндовс 7^{(Windows 7)} , све се сада приказује у категорији задатака система датотека^{(File System)} , тако да да бисте видели шта се догодило, мораћете да кликнете на сваки од њих и скролујете кроз њега.

Да бисте лакше прегледали толико догађаја, можете ставити филтер и само видети важне ствари. Кликните^(Click) на мени Приказ^(View) на врху и кликните на Филтер^(Filter) . Ако не постоји опција за Филтер^(Filter) , кликните десним тастером миша на Сигурносни^(Security) дневник на левој страници и изаберите Филтрирај тренутни дневник^{(Filter Current Log)} . У поље ИД догађаја^{(Event ID)} унесите број 4656 . Ово је догађај повезан са одређеним корисником који изводи радњу система датотека ^{(File System )} и даће вам релевантне информације без потребе да прегледате хиљаде уноса.

Ако желите да добијете више информација о догађају, само двапут кликните на њега да бисте га погледали.

Ово су информације са екрана изнад:

Тражена је ручица за објекат.^{(A handle to an object was requested.)}

Предмет: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Име налога: Асеем ^{( Account Name: Aseem)}
Домен налога: Асеем-Леново ^{( Account Domain: Aseem-Lenovo)}
ИД за пријаву: 0к175а1^{( Logon ID: 0x175a1)}

Објекат: ^(Object:)
Сервер објеката: ^{( Object Server: Security)}
Тип безбедносног објекта: ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ИД ручице: 0к16а0^{( Handle ID: 0x16a0)}

Информације о ^{(Process Information:)}
процесу: ИД процеса: 0к820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Информације о захтеву за приступ: ^{(Access Request Information:)}
ИД трансакције: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Приступи: ДЕЛЕТЕ ^{( Accesses: DELETE)}СИНЦХРОНИЗЕ ^{( ReadAttributes)}
РеадАттрибутес^{( SYNCHRONIZE)}

У горњем примеру, датотека на којој је радила била је Нев Тект Доцумент.ткт^{(New Text Document.txt)} у фасцикли Туфу^(Tufu) на мојој радној површини и приступи које сам захтевао су били ДЕЛЕТЕ^(DELETE) , а затим СИНЦХРОНИЗЕ^{(SYNCHRONIZE)} . Овде сам избрисао датотеку. Ево још једног примера:

Тип објекта: Филе ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ИД ручице: 0к178^{( Handle ID: 0x178)}

Информације о ^{(Process Information:)}
процесу: ИД процеса: 0к1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Информације о захтеву за приступ: ^{(Access Request Information:)}
ИД трансакције: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Приступи: РЕАД_ЦОНТРОЛ СИНЦХРОНИЗЕ ^{( Accesses: READ_CONTROL)}
РеадДата ^{( SYNCHRONIZE)}
(или ЛистДирецтори) ^{( ReadData (or ListDirectory))}
ВритеДата (или АддФиле) ^{( WriteData (or AddFile))}
АппендДата (или АддСубдирецтори или АддСубдирецтори или АддСубдирецтори ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}или ^{( ReadAttributes)}
ВритетрибутеАтрибутеЦреатеА ^{( ReadEA)}
РеадЕаТЕА ^{( WriteEA)})^{( WriteAttributes)}

Разлози приступа: РЕАД_ЦОНТРОЛ: Одобрено власништвом СИНЦХРОНИЗЕ: ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
Одобрено од Д:(А;ИД;ФА;;;С-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Док читате ово, можете видети да сам приступио Аддресс Лабелс.доцк^{(Address Labels.docx)} помоћу програма ВИНВОРД.ЕКСЕ^{(WINWORD.EXE)} и моји приступи су укључивали РЕАД_ЦОНТРОЛ^{(READ_CONTROL)} , а разлози мог приступа су такође били РЕАД_ЦОНТРОЛ^{(READ_CONTROL)} . Обично ћете видети гомилу више приступа, али само се фокусирајте на први јер је то обично главни тип приступа. У овом случају, једноставно сам отворио датотеку користећи Ворд^(Word) . Потребно је мало тестирања и читања кроз догађаје да бисте разумели шта се дешава, али када га спустите, то је веома поуздан систем. Предлажем да направите пробну фасциклу са датотекама и извршите различите радње да видите шта се приказује у Евент Виевер^{(Event Viewer)} -у .

То је скоро све! Брз и бесплатан начин за праћење приступа или промена у фасцикли!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice lіttle feature built into Windows that allows you to track when someone views, edits, or delеtes something inside of а sрecified folder. Ѕo if there’s a folder or file that you want to know who is accessing, then this is the built-in method without havіng to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Како направити заштићену и закључану фасциклу у оперативном систему Виндовс КСП

• Како да сачувате распоред икона на радној површини у Виндовс КСП, 7, 8

• Како да поправите грешку „Недостаје или је оштећен НТФС.сис“ у оперативном систему Виндовс КСП

• Даљински приступ Виндовс КСП или Виндовс Сервер 2003 рачунару

• Инсталирајте мрежни штампач из оперативног система Виндовс КСП помоћу програма за подешавање драјвера

• Мицрософт тимови се неће отворити на вашем рачунару? 9 поправки које треба испробати

• Како подесити дозволе за датотеке и фасцикле у Виндовс-у

• Пренесите датотеке са Виндовс КСП, Виста, 7 или 8 у Виндовс 10 помоћу Виндовс Еаси Трансфер

• Како повећати подразумевану величину сличица за Виндовс Екплорер за слике

• Како проверити подешавања прокси сервера на рачунару

• Инсталирајте мрежни штампач из оперативног система Виндовс КСП помоћу чаробњака за додавање штампача

• Фасцикла за поправке не постоји - Грешка порекла на Виндовс рачунару

• Како инсталирати Виндовс 8 РТМ на рачунар -

• Конфигуришите или искључите ДЕП (Превенција извршења података) у Виндовс-у

• Искључите или уклоните „Ваш рачунар је можда у опасности“ у оперативном систему Виндовс КСП

• Како поправити МБР у Виндовс КСП и Виста

• Решите проблеме са бежичном мрежном везом у оперативном систему Виндовс КСП

• 15 савета за повећање брзине рачунара

• Како да добијете обавештења са свог Андроид уређаја на рачунару

• Како да укључите или искључите дељење јавних фасцикли у оперативном систему Виндовс 11/10