¿De quién son los permisos que se utilizan?

Con respecto a los "Permisos" en Windows, ¿es posible rastrear o determinar "quién" realmente está cambiando algo? (es decir, determinar qué usuario está modificando algo con sus respectivos permisos)

Por ejemplo, Process Monitor puede ver que se está accediendo y configurando ciertas claves de registro, pero ¿también es posible determinar quién (qué usuario) estaba accediendo / alterando?

Estoy tratando de rastrear la cuenta de usuario precisa que está cambiando algo, en lugar de bloquear de forma involuntaria las diversas cuentas en la tabla de permisos a través de prueba y error.

Usando la utilidad regedt32.exe es posible establecer auditorías en ciertas partes del registro.

• Inicie el editor de registro (regedt32.exe)
• Seleccione la clave que desea auditar (por ejemplo, HKEY_LOCAL_MACHINE \ Software) En el menú Seguridad, seleccione Auditoría
• Marque el "Permiso de auditoría en subclaves existentes" si desea que las subclaves también sean auditadas
• Haga clic en el botón Agregar y seleccione los usuarios que desea auditar, haga clic en Agregar y luego haga clic en Aceptar
• Una vez que haya nombres en el cuadro "Nombres", puede seleccionar qué eventos se auditarán, ya sean exitosos o no.
• Cuando haya completado toda la información, haga clic en Aceptar

Deberá asegurarse de que la auditoría para el acceso a archivos y objetos esté habilitada (use el Administrador de usuarios - Políticas - Auditoría).

Para ver la información, use el Visor de eventos y mire la información de seguridad.

Hay un artículo de soporte de Microsoft que explica cómo configurar la Auditoría. Utiliza el Editor de políticas locales, que no está disponible en Windows 7 Home.