Utworzyłem obiekt zasad grupy za pomocą konsoli Microsoft Management Console, aby uniemożliwić administratorom wykonywanie pewnych czynności (dostęp do panelu sterowania, uruchamianie regedit itp.). Niedawno odkryłem, że niektóre z tych ograniczeń zostały usunięte.
Badając ten problem, odkryłem, że ntuser.pol (plik przechowujący informacje o polityce grupy dla użytkownika) nadal odzwierciedla poprawne ustawienia, ale odpowiadający mu plik rejestru ntuser.dat nie.
Uważam, że pliki ntuser.dat.log1 i ntuser.dat.log2 mogą zawierać informacje o tym, który proces zmienił ntuser.dat i kiedy. Niestety pliki te są w formacie binarnym i nie mogę znaleźć dla nich czytnika. Zastanawiałem się, czy w rzeczywistości istnieje czytnik dla tego typu plików lub czy te pliki mogą być użyte w analizie sądowej zmian w ntuser.dat w jakiś inny sposób?
źródło