ฉันสร้างวัตถุนโยบายกลุ่มโดยใช้คอนโซลการจัดการของ Microsoft เพื่อ จำกัด ผู้ที่ไม่ใช่ผู้ดูแลระบบจากความสามารถในการทำสิ่งต่าง ๆ (เข้าถึงแผงควบคุมเรียกใช้ regedit ฯลฯ ) เมื่อเร็ว ๆ นี้ฉันค้นพบว่าข้อ จำกัด เหล่านี้ถูกลบไปแล้ว
ในการตรวจสอบปัญหาฉันพบว่า ntuser.pol (ไฟล์ที่เก็บข้อมูลนโยบายกลุ่มสำหรับผู้ใช้) ยังคงแสดงการตั้งค่าที่ถูกต้อง แต่ไฟล์รีจิสทรีไฮฟ์ที่สอดคล้องกันนั้น ntuser.dat ไม่ได้
ฉันเชื่อว่าไฟล์ ntuser.dat.log1 และ ntuser.dat.log2 อาจมีข้อมูลเกี่ยวกับกระบวนการที่เปลี่ยนแปลง ntuser.dat และเมื่อใด น่าเสียดายที่ไฟล์เหล่านี้อยู่ในรูปแบบไบนารีและฉันไม่สามารถหาผู้อ่านได้ ฉันสงสัยว่าในความเป็นจริงแล้วมีเครื่องอ่านไฟล์ประเภทนี้หรือว่าไฟล์เหล่านี้สามารถใช้ในการวิเคราะห์ทางนิติเวชของการเปลี่ยนแปลง ntuser.dat ในทางอื่นได้หรือไม่?