По умолчанию программа не может определить имя пользователя, который удалил или создал файл. Чтобы программа смогла определять пользователей, нужно включить аудит доступа этой папки. Сделать это можно за два шага:
Настроить групповую политику аудита в системе
Команда gpedit.msc: Политика "Локальный компьютер" - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита - Аудит доступа к объектам. Достаточно фиксировать только успешные операции. Это шаг программа делает автоматически, когда вы нажимаете кнопку Включить аудит заданной папки.
Включить аудит самой папки
Для этого выполните действия:
1. Откройте диалог свойств папки, которую вы собираетесь мониторить (диалог открывается автоматически, когда вы нажимаете кнопку Включить аудит заданной папки).
2. В окне свойств папки перейдите на вкладку Безопасность и нажмите кнопку Дополнительно. В окне Дополнительные параметры перейдите на вкладку Аудит и нажмите Добавить.
3. В окне Элемент аудита для... задайте сначала Субъект. Для этого кликните по Выберите субъект. Откроется стандартный диалог выбора пользователя.
4. В диалоге выбора пользователя нажмите Дополнительно...
и затем Поиск..., чтобы отобразить полный список пользователей системы. Выделите Все и нажмите ОК.
5. Вернитесь опять к диалогу Элемент аудита для... и поставьте галочки на те события, которые система будет фиксировать при операции с файлами и папками в заданном каталоге.Примените изменения во всех открытых диалогах по очереди.
На этом настройка аудита выбранного каталога закончена. При выбранных операциях Windows будет записывать в Eventlog (Журнал событий) действия, которые пользователи выполняют с файлами и папками внутри этого каталога. При удалении и создании файлов программа будет обращаться к этому журналу и получать оттуда дополнительную информацию о пользователях, совершивших эти действия.
Следует учесть, что при каждой операции с файлом система генерирует больше 10 записей в Eventlog. Журнал может быстро разрастаться, поэтому рекомендуется задать для него предельный объём и следить за его состоянием.
Программа мониторинга доступа работает в среде Windows XP/Vista/7/8.1/10/11, Server 2003/2008/2012/2016/2019/2022. Вы можете скачать и попробовать 30-дневную пробную версию бесплатно.