Alguien creó un archivo (web.config) en una ubicación que básicamente causó que IIS no funcionara. ¿Hay alguna manera de que pueda determinar quién creó este archivo?
El creador / propietario dice "Administradores de dominio".
Este es un servidor Windows 2008 R2.
No hay una forma directa de averiguar quién creó el archivo en NTFS con exactitud. Sin embargo, es posible que tenga la oportunidad de revisar los registros de eventos para determinar quién inició sesión como administrador en ese momento. Si tienes suerte, solo había un administrador presente.
Si desea supervisar dichas actividades para ciertos directorios a partir de ahora, hay varias herramientas disponibles. Se puede hacer con monitor de proceso , por ejemplo, y si no es una cuenta local que está creando esos archivos. puede realizar una búsqueda con netstat en el PID para obtener la IP del usuario.
Lea otras preguntas en las etiquetas audit windows permissions file-system file-access