我怎么知道在Windows上最后一次读取或访问文件的时间？

我需要确定是否在最近的两天内访问了特定文件。

在Windows Server 2008 R2上可以吗？

在那个事实之后？不，我不这么认为，除非审核ACL是从父级继承的，或者直接在文件上设置了“读取文件”权限。如果您确实启用文件系统审核，则可以查看安全日志以找到大多数人将通过管道传输或转移到某种工具进行解析的信息。

您也可以看看使用Tripwire这样的工具来维护文件完整性（如果成为目标）。

实际上，有一种方法，但是自Vista / 2008起默认禁用它，而我刚刚验证了Win7 / 2008R2中默认禁用了它。

为了提高性能NtfsDisableLastAccessUpdate，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem现在位于中的注册表设置默认为1。如果将其更改为0，则NTFS将更新文件/文件夹的LastAccessTime属性。

您可以通过查看文件/文件夹的属性来查看此值，也可以使用PowerShell脚本提取信息。确保先进行测试，以确保性能不会太差。

同样，NTFS不会总是立即更新信息。根据微软的说法：

NTFS文件系统将对文件的最后访问时间的更新延迟最多一次访问后的1个小时。

正如@murisonc指出的那样，Windows 上的NTFS卷可以跟踪上次访问时间，默认情况下不会，并且可以通过设置注册表项轻松启用它。

您可以将其与文件完整性监视工具（例如Verisys或Tripwire）结合使用，该工具可以提供自动警报和报告功能。

文件系统审核工具也可能是一种选择，尽管许多工具依赖于启用对象审核，这可能会降低性能。其他一些依赖文件系统过滤器驱动程序，但是这些驱动程序可能有点麻烦。

本指南应采取技巧来启用对文件的审核：http : //www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

它适用于Windows 7，但几乎与2008年相同。

您也可以为此使用组策略。但是正如您所说的那样，您不是专业管理员，因此这不是您的理想选择。

您需要添加用户或组进行审核。我建议添加对父文件夹具有访问权限的同一组。

您必须告知用户您审核的内容。您的情况是“文件访问”。如果您不通知他们，审核可能是非法的。