Чтение файлов ntuser.dat.log

Question

Чтение файлов ntuser.dat.log

Я создал объект групповой политики с помощью консоли управления Microsoft, чтобы запретить не-администраторам выполнять определенные действия (доступ к панели управления, запуск regedit и т. Д.). Недавно я обнаружил, что некоторые из этих ограничений были сняты.

Исследуя эту проблему, я обнаружил, что ntuser.pol (файл, который содержит информацию о групповой политике для пользователя) по-прежнему отражает правильные настройки, но соответствующий файл куста реестра ntuser.dat этого не сделал.

Я считаю, что файлы ntuser.dat.log1 и ntuser.dat.log2 могут содержать информацию о том, какой процесс изменил ntuser.dat и когда. К сожалению, эти файлы в двоичном формате, и я не могу найти для них читателя. Мне было интересно, есть ли на самом деле ридер для файлов такого типа или эти файлы могут быть использованы для судебного анализа изменений ntuser.dat каким-либо другим способом?

5

windows-registry group-policy

Источник

graf_ignotiev 16 май '12 в 23:01

1 ответ

Решение

Другие вопросы по тегам windows-registry group-policy

psusi 17 май '12 в 00:15 2012-05-17 00:15 · Accepted Answer · 2012-05-17 00:15

Файлы журнала кустов реестра - это не журналы в том смысле, что они отслеживают прошлые изменения, а журналы транзакций (например, журналы транзакций базы данных). Они временно хранят достаточно информации, чтобы повторить или отменить ожидающие транзакции в куст реестра. Таким образом, вы не можете понять, какой процесс изменил настройку или когда.