Qualcuno ha creato un file (web.config) in una posizione che sostanzialmente ha impedito a IIS di funzionare. C'è un modo per determinare chi ha creato questo file?
Il creatore / proprietario dice "Domain Administrators".
Questo è un server Windows 2008 R2.
Non c'è un modo diretto per scoprire chi ha creato esattamente il file su NTFS con il senno di poi. Tuttavia, potresti avere la possibilità di controllare i log degli eventi per determinare chi ha effettuato l'accesso come amministratore da quel momento. Se sei fortunato, c'era un solo regalo di amministratore.
Se desideri monitorare tali attività per determinate directory d'ora in poi, ci sono vari strumenti disponibili. Può essere fatto con monitor di processo per esempio, e se non è un account locale che sta creando quei file puoi eseguire una ricerca con netstat sul PID per ottenere l'IP dell'utente.
Leggi altre domande sui tag windows permissions audit file-system file-access