Có một tính năng nhỏ hay được tích hợp trong Windows cho phép bạn theo dõi khi ai đó xem, chỉnh sửa hoặc xóa nội dung nào đó bên trong một thư mục cụ thể. Vì vậy, nếu có một thư mục hoặc tệp^{(folder or file)} mà bạn muốn biết ai đang truy cập, thì đây là phương pháp được tích hợp sẵn mà không cần phải sử dụng phần mềm của bên thứ ba.

Tính năng này thực sự là một phần của tính năng bảo mật Windows^{(Windows security)} được gọi là Group Policy , được sử dụng bởi hầu hết các Chuyên gia CNTT^{(IT Professionals)} quản lý máy tính trong mạng công ty thông qua máy chủ, tuy nhiên, nó cũng có thể được sử dụng cục bộ trên PC mà không cần bất kỳ máy chủ nào. Nhược điểm duy nhất của việc sử dụng Group Policy là nó không có sẵn trong các phiên bản Windows thấp hơn . Đối với Windows 7 , bạn cần có Windows 7 Professional trở lên. Đối với Windows 8 , bạn cần Pro hoặc Enterprise .

Thuật ngữ Chính sách Nhóm^{(Group Policy)} về cơ bản đề cập đến một tập hợp các cài đặt đăng ký có thể được kiểm soát thông qua giao diện người dùng^{(user interface)} đồ họa . Bạn bật hoặc tắt các cài đặt khác nhau và các chỉnh sửa này sau đó được cập nhật trong sổ đăng ký Windows^{(Windows registry)} .

Trong Windows XP , để truy cập trình soạn thảo chính sách^{(policy editor)} , hãy nhấp vào Bắt đầu^(Start) và sau đó nhấp vào Chạy^(Run) . Trong hộp văn bản, nhập “ gpedit.msc ” mà không có dấu ngoặc kép như được hiển thị bên dưới:

chạy gpedit

Trong Windows 7 , bạn chỉ cần nhấp vào nút Start và nhập ^{(Start button and type)}gpedit.msc vào hộp tìm kiếm^{(search box)} ở cuối Start Menu . Trong Windows 8 , chỉ cần truy cập Màn hình Bắt đầu^{(Start Screen)} và bắt đầu nhập hoặc di chuyển con trỏ chuột^{(mouse cursor)} lên phía trên cùng hoặc phía dưới bên phải của màn hình để mở thanh Charms và nhấp vào Tìm kiếm^(Search) . Sau đó, chỉ cần nhập gpedit . Bây giờ bạn sẽ thấy một cái gì đó tương tự như hình ảnh bên dưới:

biên tập viên chính sách nhóm

Có hai loại chính sách chính: Người dùng^(User) và Máy tính^(Computer) . Như bạn có thể đoán, chính sách người dùng kiểm soát cài đặt cho từng người dùng trong khi cài đặt máy tính sẽ là cài đặt trên toàn hệ thống và sẽ có hiệu lực đối với tất cả người dùng. Trong trường hợp của chúng tôi, chúng tôi sẽ muốn cài đặt của chúng tôi dành cho tất cả người dùng, vì vậy chúng tôi sẽ mở rộng phần Cấu hình máy tính^{(Computer Configuration)} .

Tiếp tục mở rộng đến Cài đặt Windows^{(Windows Settings)} -> Security Settings -> Local Policies -> Audit Policy . Tôi sẽ không giải thích nhiều về các cài đặt khác ở đây vì điều này chủ yếu tập trung vào việc kiểm tra một thư mục. Bây giờ, bạn sẽ thấy một tập hợp các chính sách và cài đặt hiện tại của chúng ở phía bên phải^{(hand side)} . Chính sách kiểm tra^{(Audit policy)} là những gì kiểm soát việc hệ điều hành^{(operating system)} có được cấu hình và sẵn sàng để theo dõi các thay đổi hay không.

quyền truy cập đối tượng kiểm toán

Bây giờ, hãy kiểm tra cài đặt cho Quyền truy cập đối tượng kiểm tra^{(Audit Object Access )} bằng cách nhấp đúp vào nó và chọn cả Thành công^(Success) và Thất bại^(Failure) . Nhấp vào OK^{(Click OK)} và bây giờ chúng ta đã hoàn thành phần đầu tiên nói với Windows rằng chúng ta muốn nó sẵn sàng theo dõi các thay đổi. Bây giờ bước tiếp theo là cho nó biết chính xác^(EXACTLY) những gì chúng tôi muốn theo dõi. Bạn có thể đóng bảng điều khiển Chính sách Nhóm^{(Group Policy console)} ngay bây giờ.

Bây giờ điều hướng đến thư mục bằng Windows Explorer mà bạn muốn theo dõi. Trong Explorer , nhấp chuột phải vào thư mục và nhấp vào ^{(folder and click)} Thuộc tính^(Properties) . Nhấp vào Tab Bảo mật^{( Security Tab)} và bạn thấy một cái gì đó tương tự như sau:

tab bảo mật thám hiểm

Bây giờ hãy nhấp vào nút Nâng cao^(Advanced) và nhấp vào tab Kiểm toán^(Auditing) . Đây là nơi chúng tôi thực sự định cấu hình những gì chúng tôi muốn giám sát cho thư mục này.

cửa sổ tab kiểm tra

Tiếp tục và nhấp vào nút Thêm^(Add) . Một hộp thoại sẽ xuất hiện yêu cầu bạn chọn Người dùng hoặc Nhóm^{(User or Group)} . Trong hộp, nhập từ “ ^{(word “)}người dùng^(users) ” và nhấp vào Kiểm tra tên^{(Check Names)} . Hộp sẽ tự động cập nhật với tên của nhóm người dùng cục bộ cho máy tính của bạn ở dạng COMPUTERNAME\Users .

quyền của nhóm người dùng

Nhấp vào OK^{(Click OK)} và bây giờ bạn sẽ nhận được một hộp thoại khác có tên “ Mục nhập kiểm tra cho X^{(Audit Entry for X)} ”. Đây là phần thịt thực sự của những gì chúng tôi muốn làm. Đây là nơi bạn sẽ chọn những gì bạn muốn xem cho thư mục này. Bạn có thể chọn riêng từng loại hoạt động mà bạn muốn theo dõi, chẳng hạn như xóa hoặc tạo tệp / thư mục mới, v.v. Để làm mọi thứ dễ dàng hơn, tôi khuyên bạn nên chọn Kiểm soát hoàn toàn^{(Full Control)} , tùy chọn này sẽ tự động chọn tất cả các tùy chọn khác bên dưới. Làm điều này để thành công^(Success) và thất bại^(Failure) . Bằng cách này, bất cứ điều gì được thực hiện với thư mục đó hoặc các tệp bên trong nó, bạn sẽ có một bản ghi.

trình khám phá quyền kiểm tra

Bây giờ hãy nhấp vào OK và nhấp vào OK một lần nữa và OK một lần nữa để thoát ra khỏi tập hợp nhiều hộp thoại^{(dialog box)} . Và bây giờ bạn đã cấu hình thành công kiểm tra trên một thư mục! Vì vậy, bạn có thể hỏi, làm thế nào để bạn xem các sự kiện?

Để xem các sự kiện, bạn cần đi tới Bảng điều khiển và nhấp^{(Control Panel and click)} vào Công cụ quản trị^{(Administrative Tools)} . Sau đó, mở Trình xem sự kiện^{(Event Viewer)} . Nhấp vào phần Bảo mật^(Security) và bạn sẽ thấy một danh sách lớn các sự kiện ở phía bên phải^{(hand side)} :

bảo mật người xem sự kiện

Nếu bạn tiếp tục và tạo một tệp hoặc chỉ cần mở thư mục và nhấp vào nút Làm mới^{(Refresh button)} trong Trình xem sự kiện^{(Event Viewer)} (nút có hai mũi tên màu xanh lá cây), bạn sẽ thấy một loạt các sự kiện trong danh mục Hệ thống tệp^{( File System)} . Các thao tác này liên quan đến mọi thao tác xóa, tạo, đọc, ghi trên các thư mục / tệp mà bạn đang kiểm tra. Trong Windows 7 , mọi thứ hiện hiển thị trong danh mục tác vụ Hệ thống tệp^{(File System task)} , vì vậy để xem điều gì đã xảy ra, bạn sẽ phải nhấp vào từng cái và cuộn qua nó.

Để giúp bạn dễ dàng xem qua rất nhiều sự kiện, bạn có thể đặt một bộ lọc và chỉ xem những nội dung quan trọng. Nhấp^(Click) vào menu Xem^(View) ở trên cùng và nhấp vào Bộ lọc^(Filter) . Nếu không có tùy chọn nào cho Bộ lọc^(Filter) , hãy nhấp chuột phải vào Nhật ký bảo mật^{(Security log)} ở trang bên trái và chọn Lọc Nhật ký Hiện tại^{(Filter Current Log)} . Trong hộp ID sự kiện^{(Event ID box)} , nhập số 4656 . Đây là sự kiện được liên kết với một người dùng cụ thể thực hiện hành động Hệ thống tệp ^{(File System )} và sẽ cung cấp cho bạn thông tin liên quan mà không cần phải xem qua hàng nghìn mục nhập.

nhật ký lọc

Nếu bạn muốn biết thêm thông tin về một sự kiện, chỉ cần nhấp đúp vào nó để xem.

xóa id sự kiện

Đây là thông tin từ màn hình trên:

Một xử lý cho một đối tượng đã được yêu cầu.^{(A handle to an object was requested.)}

Chủ đề: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Tên tài khoản: Aseem ^{( Account Name: Aseem)}
Tên tài khoản: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
ID đăng nhập: 0x175a1^{( Logon ID: 0x175a1)}

Đối tượng: ^(Object:)
Máy chủ đối ^{( Object Server: Security)}
tượng: Loại đối tượng bảo mật: Tên đối tượng tệp ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID xử lý: 0x16a0^{( Handle ID: 0x16a0)}

Thông tin ^{(Process Information:)}
quy trình: ID quy trình: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Trong ví dụ trên, tệp hoạt động trên là New Text Document.txt trong thư mục Tufu^{(Tufu folder)} trên màn hình của tôi và các quyền truy cập mà tôi yêu cầu được DELETE theo sau là SYNCHRONIZE . Những gì tôi đã làm ở đây là xóa tệp. Đây là một ví dụ khác:

Loại đối tượng: Tên đối tượng tệp ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID xử lý: 0x178^{( Handle ID: 0x178)}

Thông tin ^{(Process Information:)}
quy trình: ID quy trình: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Thông tin yêu cầu truy cập: ^{(Access Request Information:)}
ID giao dịch: {00000000-0000-0000-0000-000000000000} Quyền truy ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
cập: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (hoặc ListDirectory) WriteData ^{( ReadData (or ListDirectory))}
(hoặc AddFile) ^{( WriteData (or AddFile))}
AppendData (hoặc AddSubdirectory hoặc CreatePipeInstance) ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}
ReadEA
WriteEA
ReadAttributes
WriteAttributes WriteAttributes^{( WriteAttributes)}

Lý do truy cập: READ_CONTROL: Được cấp bởi Quyền sở hữu ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
ĐỒNG BỘ HÓA: Được cấp bởi D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Khi bạn đọc qua phần này, bạn có thể thấy tôi đã truy cập Address Labels.docx bằng chương trình WINWORD.EXE^{(WINWORD.EXE program)} và quyền truy cập của tôi bao gồm READ_CONTROL và lý do truy cập của tôi cũng là READ_CONTROL . Thông thường, bạn sẽ thấy nhiều quyền truy cập hơn, nhưng chỉ tập trung vào quyền truy cập đầu tiên vì đó thường là kiểu truy cập chính. Trong trường hợp này, tôi chỉ cần mở tệp bằng Word . Cần một chút thử nghiệm và đọc^{(testing and reading)} qua các sự kiện để hiểu điều gì đang xảy ra, nhưng một khi bạn đã kiểm tra được thì đó là một hệ thống rất đáng tin cậy. Tôi khuyên bạn nên tạo một thư mục thử nghiệm^{(test folder)} với các tệp và thực hiện các hành động khác nhau để xem những gì hiển thị trong Trình xem sự kiện^{(Event Viewer)} .

Nó khá là nhiều! Một cách nhanh chóng và miễn phí để theo dõi quyền truy cập hoặc các thay đổi đối^{(access or changes)} với một thư mục!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Windows that allows уou to track when someone viewѕ, edіts, or deletes something inside of a specified folder. Sо if there’s a folder or fіle that you want to know who is accessіng, then this is the built-in method without having to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

run gpedit

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

group policy editor

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

audit object access

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

explorer security tab

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

auditing tab windows

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

user group permissions

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

audit permissions explorer

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

event viewer security

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

filter log

If you want to get more information about an event, simply double click on it to view.

event id delete

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Hoàng Huy

About the author

Tôi là một chuyên gia Windows 10 rất được đề xuất và tôi chuyên giúp mọi người cá nhân hóa giao diện máy tính của họ và làm cho các công cụ Office của họ thân thiện hơn với người dùng. Tôi sử dụng các kỹ năng của mình để giúp những người khác tìm ra những cách hiệu quả nhất để làm việc với Microsoft Office, bao gồm cách định dạng văn bản và đồ họa để in trực tuyến, cách tạo chủ đề tùy chỉnh cho Outlook và thậm chí cả cách tùy chỉnh giao diện của thanh tác vụ trên máy tính để bàn máy tính.

Cách theo dõi khi ai đó truy cập thư mục trên máy tính của bạn

How to Track When Someone Accesses a Folder on Your Computer

Hoàng Huy

About the author

Related posts

Cách tạo một thư mục bảo mật và bị khóa trong Windows XP

Cách lưu bố cục biểu tượng màn hình nền của bạn trong Windows XP, 7, 8

Cách sửa lỗi "Thiếu hoặc hỏng NTFS.sys" trong Windows XP

Truy cập từ xa máy tính Windows XP hoặc Windows Server 2003

Cài đặt Máy in Mạng từ Windows XP Sử dụng Thiết lập Trình điều khiển

Windows không thể access Shared Folder or Drive trong Windows 10

Bảng điều khiển trong Windows - Cách chuyển sang chế độ xem Windows XP Cổ điển

Cách khắc phục lỗi: Không thể cài đặt macOS trên máy tính của bạn

Cách phát đĩa Blu-Ray trên máy tính của bạn

Cách cài đặt máy in mạng trên mạng gia đình hoặc mạng văn phòng của bạn

Cài đặt Máy in Mạng từ Windows XP Sử dụng Trình hướng dẫn Thêm Máy in

Cách tăng kích thước hình thu nhỏ mặc định của Windows Explorer cho ảnh

Đồng bộ hóa mọi thư mục Windows với Google Drive, OneDrive và Dropbox

Chuyển tệp từ Windows XP, Vista, 7 hoặc 8 sang Windows 10 bằng Windows Easy Transfer

Cách sửa lỗi MBR trong Windows XP và Vista

Cách thêm chương trình vào khởi động trong Windows XP

Fix Folder không tồn tại - Origin error trên Windows 10

Khắc phục sự cố kết nối mạng không dây Windows XP

Cách kiểm tra cài đặt máy chủ proxy trên máy tính của bạn

Cách nhận thông báo của thiết bị Android trên máy tính của bạn