[Petya V4sechkin]

1. Пуск -> Выполнить -> secpol.msc -> Локальные политики -> Политика аудита -> Аудит доступа к объектам.
2. В свойствах папки -> вкладка Безопасность -> кнопка Дополнительно -> вкладка Аудит.

Результаты в Журнале событий (Пуск -> Выполнить -> eventvwr.msc) -> Безопасность.

Как применить аудит доступа пользователей к файлам, папкам и принтерам в Microsoft Windows XP

[vo.one]

Ситуация следующая:

Есть одноранговая сеть без доменов, машина под winxp, на расшаренный ресурс ходят под "Гостем"
Стоит задача - отслеживать, с какого адреса (т.к. в Аудите под пользователем мы увидим "Comp\Гость" для всех подключений) кто какой файл открывал\писал\удалял.

Настроил события аудита для ресурса, но остались вопросы:

- как фильтром отделить события записи\чтения\удаления? Все эти события имеют ID 560
- как фильтром работать с полем "Имя объекта", осуществлять поиск по "Имя объекта" итд
- В "Управлении компьютером -> Открытые файлы" я вижу корректные имена удаленных юзеров. Где-нибудь пишется в логи время \ пользователь \ ресурс , открытый по сети?



Я так понимаю, стандартным EventLog-ом я не выкручусь. Посоветуйте программу.
Нагуглил пока только KillWatcher, но он немного неудобно отображает время доступа :

Юзер - Адрес - Время первого подключения к хосту (а не время обращения к файлу), потом перечень файлов, которые открывались.