Hoe te volgen wanneer iemand een map op uw computer opent
Er is een leuke kleine functie ingebouwd in Windows waarmee je kunt bijhouden wanneer iemand iets in een bepaalde map bekijkt, bewerkt of verwijdert. Dus als er een map of bestand is waarvan u wilt weten wie er toegang toe heeft, dan is dit de ingebouwde methode zonder dat u software van derden hoeft te gebruiken.
Deze functie maakt eigenlijk deel uit van een Windows -beveiligingsfunctie genaamd Groepsbeleid( Group Policy) , die wordt gebruikt door de meeste IT-professionals die computers in het bedrijfsnetwerk via servers beheren, maar het kan ook lokaal op een pc zonder servers worden gebruikt. Het enige nadeel van het gebruik van Groepsbeleid(Group Policy) is dat het niet beschikbaar is in lagere versies van Windows . Voor Windows 7 moet u Windows 7 Professional of hoger hebben. Voor Windows 8 heeft u Pro of Enterprise nodig .
De term Groepsbeleid(Group Policy) verwijst in feite naar een reeks registerinstellingen die kunnen worden beheerd via een grafische gebruikersinterface. U schakelt verschillende instellingen in of uit en deze bewerkingen worden vervolgens bijgewerkt in het Windows -register.
Om in Windows XP naar de beleidseditor te gaan, klikt u op Start en vervolgens op Uitvoeren(Run) . Typ in het tekstvak " gpedit.msc " zonder de aanhalingstekens, zoals hieronder weergegeven:
In Windows 7 klikt u gewoon op de knop Start en typt u gpedit.msc in het zoekvak onder aan het menu Start(Start Menu) . In Windows 8 gaat u gewoon naar het startscherm(Start Screen) en begint u te typen of beweegt u uw muiscursor naar de rechterboven- of onderkant van het scherm om de Charms - balk te openen en klikt u op Zoeken(Search) . Typ dan gewoon gpedit . Nu zou je iets moeten zien dat lijkt op de onderstaande afbeelding:
Er zijn twee hoofdcategorieën beleidsregels: gebruiker(User) en computer . Zoals je misschien al geraden hebt, bepaalt het gebruikersbeleid de instellingen voor elke gebruiker, terwijl de computerinstellingen systeembrede instellingen zijn en van invloed zijn op alle gebruikers. In ons geval willen we dat onze instelling voor alle gebruikers is, dus we breiden het gedeelte Computerconfiguratie(Computer Configuration) uit .
Ga door met uitbreiden naar Windows Instellingen(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Ik ga hier niet veel van de andere instellingen uitleggen, omdat dit voornamelijk is gericht op het controleren van een map. Nu ziet u aan de rechterkant een reeks beleidsregels en hun huidige instellingen. Auditbeleid bepaalt of het besturingssysteem al dan niet is geconfigureerd en klaar is om wijzigingen bij te houden.
Controleer nu de instelling voor Audit Object Access door erop te dubbelklikken en zowel Succes(Success) als Failure te selecteren . Klik op OK(Click OK) en nu zijn we klaar met het eerste deel dat Windows vertelt dat we willen dat het klaar is om wijzigingen te controleren. Nu is de volgende stap om het te vertellen wat PRECIES(EXACTLY) we willen volgen. U kunt nu de Groepsbeleid(Group Policy) -console afsluiten.
Navigeer nu met Windows Verkenner(Windows Explorer) naar de map die u wilt controleren. Klik in Verkenner(Explorer) met de rechtermuisknop op de map en klik op Eigenschappen(Properties) . Klik op het tabblad Beveiliging( Security Tab) en je ziet iets dat lijkt op dit:
Klik nu op de knop Geavanceerd(Advanced) en klik op het tabblad Auditing . Dit is waar we daadwerkelijk configureren wat we willen controleren voor deze map.
Ga je gang en klik op de knop Toevoegen(Add) . Er verschijnt een dialoogvenster waarin u wordt gevraagd een gebruiker(User) of groep(Group) te selecteren . Typ in het vak het woord " gebruikers(users) " en klik op Namen controleren(Check Names) . De box wordt automatisch bijgewerkt met de naam van de lokale gebruikersgroep voor uw computer in de vorm COMPUTERNAME\Users .
Klik op OK(Click OK) en nu krijg je een ander dialoogvenster genaamd " Audit Entry for X ". Dit is het echte vlees van wat we wilden doen. Hier selecteert u wat u voor deze map wilt bekijken. U kunt individueel kiezen welke soorten activiteiten u wilt volgen, zoals het verwijderen of maken van nieuwe bestanden/mappen, enz. Om het u gemakkelijker te maken, raad ik aan Volledig beheer(Full Control) te selecteren , waarmee automatisch alle andere opties eronder worden geselecteerd. Doe dit voor succes(Success) en mislukking(Failure) . Op deze manier heb je een record, wat er ook met die map of de bestanden erin wordt gedaan.
Klik nu op OK en klik nogmaals op OK en nog een keer op OK om uit de set met meerdere dialoogvensters te komen. En nu heb je met succes auditing op een map geconfigureerd! Dus je vraagt je misschien af, hoe kijk je naar de gebeurtenissen?
Om de evenementen te bekijken, moet u naar het Configuratiescherm(Control Panel) gaan en op Systeembeheer(Administrative Tools) klikken . Open vervolgens de Event Viewer . Klik op het gedeelte Beveiliging(Security) en je ziet aan de rechterkant een grote lijst met evenementen:
Als je doorgaat en een bestand maakt of gewoon de map opent en op de knop Vernieuwen(Refresh) in de Event Viewer klikt (de knop met de twee groene pijlen), zie je een heleboel gebeurtenissen in de categorie Bestandssysteem( File System) . Deze hebben betrekking op alle verwijder-, aanmaak-, lees- en schrijfbewerkingen op de mappen/bestanden die u controleert. In Windows 7 wordt nu alles weergegeven onder de taakcategorie Bestandssysteem , dus om te zien wat er is gebeurd, moet je op elk ervan klikken en er doorheen scrollen.(File System)
Om het gemakkelijker te maken om door zoveel evenementen te kijken, kun je een filter plaatsen en alleen de belangrijke dingen zien. Klik(Click) bovenaan op het menu Beeld en klik op (View)Filter . Als er geen optie is voor Filter , klik dan met de rechtermuisknop op het Beveiligingslogboek(Security) op de linkerpagina en kies Huidig logboek filteren(Filter Current Log) . Typ in het vak Gebeurtenis-ID(Event ID) het nummer 4656 . Dit is de gebeurtenis die is gekoppeld aan een bepaalde gebruiker die een bestandssysteemactie (File System ) uitvoert en u de relevante informatie geeft zonder duizenden vermeldingen te hoeven doorzoeken.
Als u meer informatie over een evenement wilt, dubbelklikt u erop om het te bekijken.
Dit is de informatie uit het bovenstaande scherm:
Er is om een handle voor een object gevraagd.(A handle to an object was requested.)
Onderwerp: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: Aseem ( Account Name: Aseem)
-Lenovo- ( Account Domain: Aseem-Lenovo)
aanmeldings-ID: 0x175a1( Logon ID: 0x175a1)
Object:
Object Server: Beveiliging ( Object Server: Security)
Objecttype: Bestand ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handvat-ID: 0x16a0( Handle ID: 0x16a0)
Procesinformatie: (Process Information:)
Proces-ID: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Toegangsverzoekinformatie: (Access Request Information:)
Transactie-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Toegangen: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
In het bovenstaande voorbeeld was het bestand waaraan werd gewerkt New Text Document.txt in de Tufu- map op mijn bureaublad en de toegangen die ik had aangevraagd waren DELETE gevolgd door SYNCHRONIZE . Wat ik hier deed, was het bestand verwijderen. Hier is nog een voorbeeld:
Objecttype: Bestand ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handvat-ID: 0x178( Handle ID: 0x178)
Procesinformatie: (Process Information:)
Proces-ID: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Toegangsverzoekinformatie: (Access Request Information:)
Transactie-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Toegangen: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (of ListDirectory) ( ReadData (or ListDirectory))
WriteData (of AddFile) ( WriteData (or AddFile))
AppendData (of AddSubdirectory of CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Toegangsredenen: READ_CONTROL: Toegekend door eigendom ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Toegekend door D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
Terwijl je dit leest, kun je zien dat ik toegang kreeg tot Address Labels.docx met behulp van het WINWORD.EXE- programma en mijn toegangen omvatten READ_CONTROL en mijn toegangsredenen waren ook READ_CONTROL . Meestal zie je een heleboel meer toegangen, maar concentreer je gewoon op de eerste, want dat is meestal het belangrijkste type toegang. In dit geval heb ik het bestand gewoon geopend met Word . Het vergt wat testen en doorlezen van de gebeurtenissen om te begrijpen wat er aan de hand is, maar als je het eenmaal onder de knie hebt, is het een zeer betrouwbaar systeem. Ik raad aan om een testmap met bestanden te maken en verschillende acties uit te voeren om te zien wat er in de Event Viewer wordt weergegeven .
Dat is het eigenlijk wel! Een snelle en gratis manier om toegang tot of wijzigingen in een map bij te houden!
Related posts
Een beveiligde en vergrendelde map maken in Windows XP
Hoe u de lay-out van uw bureaubladpictogram kunt opslaan in Windows XP, 7, 8
Hoe de "Ontbrekende of corrupte NTFS.sys"-fout in Windows XP te herstellen
Op afstand toegang krijgen tot een Windows XP- of Windows Server 2003-computer
Installeer een netwerkprinter vanuit Windows XP met behulp van de driverinstallatie
Het standaardpictogram voor een map wijzigen of herstellen in Windows 11/10
Bestands- en mapmachtigingen instellen in Windows
Hoe u de meldingen van uw Android-apparaat op uw computer kunt krijgen
OTT legt uit: wat is bloatware en hoe u het op uw computer kunt identificeren?
Gratis software om lege mappen te verwijderen in Windows 11/10
Extern bureaublad instellen op Windows XP
Microsoft Teams wordt niet geopend op uw computer? 9 oplossingen om te proberen
Fix Registerbewerking is uitgeschakeld door uw beheerdersfout
Een programma toevoegen aan opstarten in Windows XP
Voer oude DOS-spellen en -programma's uit in Windows XP, Vista, 7/8/10
Hoe u een website op uw computer, telefoon of netwerk kunt blokkeren
Word lid van een Windows XP-computer naar een Windows 7/8/10-thuisgroep
Schakel "Uw computer loopt mogelijk risico" uit of verwijder deze in Windows XP
Obsidian gebruiken als een persoonlijke wiki op uw computer
Synchroniseer elke Windows-map met Google Drive, OneDrive en Dropbox