如何找出谁使用 .NET 在 Windows 中创建了文件？

Question

我需要找出谁使用 .NET 创建了一个文件

我已经尝试过以下操作：

string FileLocation = @"C:\test.txt";
FileInfo droppedFile = new FileInfo(FileLocation);
FileSecurity fileSecurity = droppedFile.GetAccessControl();
IdentityReference identityReference = fileSecurity.GetOwner(typeof(NTAccount));
string userName = identityReference.Value;
Console.WriteLine(userName);

所有这些返回都是“BUILTIN\Administrators”

我在这里做错了什么吗？因为当我在资源管理器中查看 C:\ 时，所有者显示了正确的用户名，当我执行上面的代码时，它返回“BUILTIN\Administrators”，

这甚至不是域和用户名，我认为它是一个安全组。

任何帮助表示赞赏。

Answer 1

如果用户是管理员，则他们创建的文件被视为由整个管理员组而不是单个用户拥有。

您可以在资源管理器的属性对话框中看到相同的行为。令人烦恼的是，除了不让用户成为管理员之外，我认为没有任何解决方法。

编辑：这篇 Technet 文章解释了此行为更详细地说。其基本原理是 Windows 将所有管理员视为一个实体；系统上的任何管理员都可以执行其他管理员可以执行的任何操作。

• 如果一名管理员有权访问某个文件，则所有其他管理员也有权访问
• 如果一名管理员被拒绝访问，则其他管理员也被拒绝
• 如果一名管理员拥有一个文件，则该文件的所有者被授予对该文件的特权访问权限- 那么所有其他管理员也必须拥有该文件。

Answer 2

更新：我错了，文件对象有一个所有者描述符！ （我的头在哪里）。请查看这篇 MSDN 文章。

可能是因为文件对象没有定义创建者或所有者，而是由系统本身（内置\管理员）拥有。 “组或用户名”列表仅指定有权访问该文件的组和用户的列表，而不是具体指定创建者。

您能做的最好的事情就是遍历“组或用户名”列表，并最好地猜测哪一个是创建者。