Hay una pequeña característica agradable integrada en Windows que le permite realizar un seguimiento cuando alguien ve, edita o elimina algo dentro de una carpeta específica. Entonces, si hay una carpeta o archivo^{(folder or file)} al que desea saber quién está accediendo, entonces este es el método integrado sin tener que usar software de terceros.

Esta característica es en realidad parte de una característica de seguridad de Windows^{(Windows security)} llamada Política de grupo^{( Group Policy)} , que es utilizada por la mayoría de los profesionales de TI^{(IT Professionals)} que administran computadoras en la red corporativa a través de servidores; sin embargo, también se puede usar localmente en una PC sin ningún servidor. El único inconveniente de usar la directiva de grupo^{(Group Policy)} es que no está disponible en versiones anteriores de Windows . Para Windows 7 , debe tener Windows 7 Professional o superior. Para Windows 8 , necesita Pro o Enterprise .

El término Política de grupo^{(Group Policy)} básicamente se refiere a un conjunto de configuraciones de registro que se pueden controlar a través de una interfaz gráfica de usuario^{(user interface)} . Habilita o deshabilita varias configuraciones y estas modificaciones luego se actualizan en el registro de Windows^{(Windows registry)} .

En Windows XP , para acceder al editor de políticas^{(policy editor)} , haga clic en Inicio^(Start) y luego en Ejecutar^(Run) . En el cuadro de texto, escriba " gpedit.msc " sin las comillas como se muestra a continuación:

ejecutar gpedit

En Windows 7 , simplemente haga clic en el botón Inicio y escriba ^{(Start button and type)}gpedit.msc en el cuadro de búsqueda^{(search box)} en la parte inferior del menú Inicio^{(Start Menu)} . En Windows 8 , simplemente vaya a la pantalla^{(Start Screen)} de inicio y comience a escribir o mueva el cursor^{(mouse cursor)} del mouse hacia el extremo superior o inferior derecho de la pantalla para abrir la barra de Accesos y haga clic en ^(Charms)Buscar^(Search) . Luego simplemente escriba gpedit . Ahora deberías ver algo similar a la imagen de abajo:

editor de políticas de grupo

Hay dos categorías principales de políticas: Usuario^(User) y Equipo^(Computer) . Como habrá adivinado, las políticas de usuario controlan la configuración de cada usuario, mientras que la configuración de la computadora será la configuración de todo el sistema y afectará a todos los usuarios. En nuestro caso, vamos a querer que nuestra configuración sea para todos los usuarios, por lo que expandiremos la sección Configuración de la computadora^{(Computer Configuration)} .

Continúe expandiéndose a Configuración de Windows^{(Windows Settings)} -> Security Settings -> Local Policies -> Audit Policy . No voy a explicar mucho de las otras configuraciones aquí ya que esto se enfoca principalmente en auditar una carpeta. Ahora verá un conjunto de políticas y su configuración actual en el lado^{(hand side)} derecho . La política de auditoría^{(Audit policy)} es lo que controla si el sistema operativo^{(operating system)} está o no configurado y listo para realizar un seguimiento de los cambios.

acceso a objetos de auditoría

Ahora verifique la configuración para el acceso a objetos de auditoría^{(Audit Object Access )} haciendo doble clic en él y seleccionando Éxito^(Success) y Fallo^(Failure) . Haga clic en Aceptar^{(Click OK)} y ahora hemos terminado con la primera parte que le dice a Windows que queremos que esté listo para monitorear los cambios. Ahora, el siguiente paso es decirle qué EXACTAMENTE^(EXACTLY) queremos rastrear. Puede cerrar la consola de directivas de grupo^{(Group Policy console)} ahora.

Ahora navegue a la carpeta usando el Explorador de Windows^{(Windows Explorer)} que le gustaría monitorear. En el Explorador^(Explorer) , haga clic derecho en la carpeta y haga clic en ^{(folder and click)} Propiedades^(Properties) . Haga clic en la pestaña Seguridad^{( Security Tab)} y verá algo similar a esto:

pestaña de seguridad del explorador

Ahora haga clic en el botón Avanzado^(Advanced) y haga clic en la pestaña Auditoría . ^(Auditing)Aquí es donde configuraremos lo que queremos monitorear para esta carpeta.

ventanas de pestañas de auditoría

Continúe y haga clic en el botón Agregar^(Add) . Aparecerá un cuadro de diálogo que le pedirá que seleccione un usuario o grupo^{(User or Group)} . En el cuadro, escriba la palabra " ^{(word “)}usuarios^(users) " y haga clic en Verificar nombres^{(Check Names)} . El cuadro se actualizará automáticamente con el nombre del grupo de usuarios locales para su computadora en la forma COMPUTERNAME\Users .

permisos de grupos de usuarios

Haga clic en Aceptar^{(Click OK)} y ahora obtendrá otro cuadro de diálogo llamado " Entrada de auditoría para X^{(Audit Entry for X)} ". Esta es la verdadera carne de lo que hemos querido hacer. Aquí es donde seleccionará lo que desea ver para esta carpeta. Puede elegir individualmente qué tipos de actividad desea rastrear, como eliminar o crear nuevos archivos/carpetas, etc. Para facilitar las cosas, sugiero seleccionar Control total^{(Full Control)} , que seleccionará automáticamente todas las demás opciones debajo de él. Haga esto para el Éxito^(Success) y el Fracaso^(Failure) . De esta manera, cualquier cosa que se haga con esa carpeta o los archivos dentro de ella, tendrá un registro.

explorador de permisos de auditoría

Ahora haga clic en Aceptar y haga clic en Aceptar nuevamente y en Aceptar una vez más para salir del conjunto de cuadros de diálogo^{(dialog box)} múltiples . ¡Y ahora ha configurado con éxito la auditoría en una carpeta! Entonces, podría preguntarse, ¿cómo ve los eventos?

Para ver los eventos, debe ir al Panel de control y hacer clic^{(Control Panel and click)} en Herramientas administrativas^{(Administrative Tools)} . A continuación, abra el Visor de eventos^{(Event Viewer)} . Haga clic en la sección Seguridad^(Security) y verá una gran lista de eventos en el lado^{(hand side)} derecho :

seguridad del visor de eventos

Si continúa y crea un archivo o simplemente abre la carpeta y hace clic en el botón Actualizar^{(Refresh button)} en el Visor de eventos^{(Event Viewer)} (el botón con las dos flechas verdes), verá un montón de eventos en la categoría de Sistema de archivos^{( File System)} . Estos pertenecen a cualquier operación de eliminación, creación, lectura y escritura en las carpetas/archivos que está auditando. En Windows 7 , ahora todo aparece en la categoría de tareas Sistema de archivos^{(File System task)} , por lo que para ver qué sucedió, deberá hacer clic en cada uno y desplazarse por ellos.

Para que sea más fácil revisar tantos eventos, puedes poner un filtro y solo ver las cosas importantes. Haga clic^(Click) en el menú Ver en la parte superior y haga clic en ^(View)Filtro^(Filter) . Si no hay ninguna opción para Filtrar^(Filter) , haga clic con el botón derecho en el registro de seguridad^{(Security log)} en la página de la izquierda y seleccione Filtrar registro actual^{(Filter Current Log)} . En el cuadro ID de evento^{(Event ID box)} , escriba el número 4656 . Este es el evento asociado con un usuario en particular que realiza una acción del sistema de archivos ^{(File System )} y le brindará la información relevante sin tener que revisar miles de entradas.

registro de filtro

Si desea obtener más información sobre un evento, simplemente haga doble clic en él para verlo.

eliminar ID de evento

Esta es la información de la pantalla de arriba:

Se solicitó un identificador para un objeto.^{(A handle to an object was requested.)}

Asunto: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Nombre de cuenta: Aseem ^{( Account Name: Aseem)}
Cuenta Dominio: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
ID de inicio de sesión: 0x175a1^{( Logon ID: 0x175a1)}

Objeto: ^(Object:)
Servidor de ^{( Object Server: Security)}
objetos: Tipo de objeto de seguridad: ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID de identificador: 0x16a0^{( Handle ID: 0x16a0)}

Información ^{(Process Information:)}
del proceso: ID del proceso: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

En el ejemplo anterior, el archivo trabajado fue New Text Document.txt en la carpeta Tufu^{(Tufu folder)} de mi escritorio y los accesos que solicité fueron DELETE seguido de SYNCHRONIZE . Lo que hice aquí fue eliminar el archivo. Aquí hay otro ejemplo:

Tipo de objeto: Archivo ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID de identificador: 0x178^{( Handle ID: 0x178)}

Información ^{(Process Information:)}
del proceso: ID del proceso: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Información de solicitud de acceso: ^{(Access Request Information:)}
ID de transacción: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Accesos: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (o ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (o AddFile) ^{( WriteData (or AddFile))}
AppendData (o AddSubdirectory o CreatePipeInstance) ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Razones de acceso: READ_CONTROL: Otorgado por la propiedad ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONIZE: Otorgado por D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Mientras lee esto, puede ver que accedí a Address Labels.docx usando el programa WINWORD.EXE^{(WINWORD.EXE program)} y mis accesos incluían READ_CONTROL y mis razones de acceso también eran READ_CONTROL . Por lo general, verá muchos más accesos, pero concéntrese en el primero, ya que suele ser el principal tipo de acceso. En este caso, simplemente abrí el archivo usando Word . Se necesita un poco de prueba y lectura^{(testing and reading)} de los eventos para comprender lo que está sucediendo, pero una vez que lo domina, es un sistema muy confiable. Sugiero crear una carpeta de prueba^{(test folder)} con archivos y realizar varias acciones para ver qué aparece en el Visor de eventos^{(Event Viewer)} .

¡Eso es practicamente todo! ¡ Una forma rápida y gratuita de realizar un seguimiento del acceso o los cambios^{(access or changes)} en una carpeta!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nicе little featurе built into Windows that allows you tо track when sоmeone vіews, edits, or deletes something inside of a ѕpecified folder. Sо if there’s a folder or file that you want to know who is accesѕing, then this is the built-in method without having to use third-party softwаre.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

run gpedit

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

group policy editor

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

audit object access

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

explorer security tab

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

auditing tab windows

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

user group permissions

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

audit permissions explorer

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

event viewer security

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

filter log

If you want to get more information about an event, simply double click on it to view.

event id delete

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Jose Molina

About the author

Soy experto en desarrollo de hardware y software. Tengo experiencia trabajando tanto con productos Apple (ios) como con las plataformas Android de Google. También soy un firme defensor de Edge Computing, que es la última tendencia en tecnología web y móvil. Mis habilidades en estas áreas me hacen ideal para desarrollar aplicaciones que sean rápidas, seguras y eficientes.

Cómo rastrear cuando alguien accede a una carpeta en su computadora

How to Track When Someone Accesses a Folder on Your Computer

Jose Molina

About the author

Related posts

Cómo crear una carpeta segura y bloqueada en Windows XP

Cómo guardar el diseño de iconos de su escritorio en Windows XP, 7, 8

Cómo reparar el error "NTFS.sys faltante o corrupto" en Windows XP

Acceso remoto a una computadora con Windows XP o Windows Server 2003

Instale una impresora de red desde Windows XP usando la configuración del controlador

Cómo cambiar Ownership de A File or Folder en Windows 11/10

Cómo reproducir discos Blu-Ray en su computadora

Instale una impresora de red desde Windows XP mediante el Asistente para agregar impresoras

Cómo agregar un programa al inicio en Windows XP

Cómo instalar una impresora de red en la red de su hogar u oficina

Las 10 principales diferencias entre Windows XP y Windows 7

Cómo instalar Windows 8.1 RTM en su computadora

Cómo establecer permisos de archivos y carpetas en Windows

8 alternativas más baratas a Geek Squad para arreglar tu computadora

Arreglar la edición del registro ha sido deshabilitada por su error de administrador

El Panel de control en Windows: cómo cambiar a la vista clásica de Windows XP

OTT explica: qué es el bloatware y cómo identificarlo en su computadora

Cómo ocultar otras redes WiFi al conectarse con su computadora

Cómo cambiar el visor de imágenes predeterminado en Windows

Cómo solucionar el error: macOS no se pudo instalar en su computadora