Узнать инициатора перемещения каталога

← →
Cruel © (2004-08-06 09:34) [0]

Дано: файл-сервер Win2K SP3 на NTFS, трёхуровневая структура каталогов Организация/Отдел/Пользователь с установленными правами доступа, сетка на 70 пользователей. Пользователи по сети работают с файлами, моя программа с помощью ReadDirectoryChangesW отлавливает события в каталоге, а с помощью NetFileEnum & NetSessionEnum определяет кто открыл файл, с какой машины, её конфигурацию.
Если происходит создание или удаление каталога, то программа определяет кто это сделал, но при _перемещении_ каталога выяснить инициатора не удаётся. Как быть - ведь именно для отслеживания изменения структуры каталогов и создавалась программа?

← →
Дмитрий В. Белькевич (2004-08-07 05:28) [1]

Вообще-то на это родной аудит есть. Насколько я помню, это сама система прекрасно отлавливает, и журнал событий складывает.

Уважаемый Дмитрий В.!
Безусловно, что первое, куда я обратил свой взор - это к журналу безопасности и его настройкам, однако при перемещении каталога в журнале безопасности возникает два события, связать которые между собой на мой взгляд не представляется возможным:

Событие 1: Удаление каталога ...\Новая папка (2) из старого каталога

Тип события: Аудит успехов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 08.08.2004
Время: 08:10:15
Пользователь: MAIN\TST
Компьютер: WIN2K
Описание:
Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\...\Новая папка (2)
Новый код дескриптора: 1040
Код операции: {0,43713850}
Код процесса: 1308
Основной пользователь: TST
Домен: MAIN
Код входа: (0x0,0xE403)
Пользователь-клиент: -
Домен клиента: -
Код входа клиента: -
Доступ DELETE
SYNCHRONIZE
ReadAttributes

Привилегии -

Событие 2: Добавление чего-то в какой-то каталог

Тип события: Аудит успехов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 08.08.2004
Время: 08:10:15
Пользователь: MAIN\TST
Компьютер: WIN2K
Описание:
Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\...\TestDir
Новый код дескриптора: 1096
Код операции: {0,43713853}
Код процесса: 1308
Основной пользователь: TST
Домен: MAIN
Код входа: (0x0,0xE403)
Пользователь-клиент: -
Домен клиента: -
Код входа клиента: -
Доступ SYNCHRONIZE
Запись данных (или добавление файла)

Привилегии -

Надо признать, что события идут друг за другом, но является ли это определяющим при их сопоставлении и не может ли "затесаться" между ними другое событие этого же пользователя, ну скажем, от программы, работающей под его именем в автоматическом режиме?

Узнать инициатора перемещения каталога Найти похожие ветки