Проблема

Невозможно однозначно определить, кто редактировал документы в совместном доступе, если не настроен аудит изменений или история версий не хранится. Без этих данных остаются лишь косвенные признаки (время, IP, но не личность).

Причины

1. Аудит доступа и изменений не включён по умолчанию в большинстве облачных и локальных хранилищ.
2. У пользователей нет прав на просмотр логов администратора (требуются роли владельца, супер-администратора).
3. Используются анонимные или общие учётки без привязки к конкретному сотруднику.
4. Версионность отключена (не сохраняются предыдущие копии документа).

Решение


#### Для Google Workspace (Docs, Sheets, Slides)
- Просмотр истории версий (доступен владельцу/редактору): Файл → История версий → Просмотреть историю. Отображает временную шкалу правок, но не показывает имя пользователя, если он не авторизован (анонимный доступ).
- Аудит администрирования (для владельцев домена): Google Admin → Отчётность → Аудит → Диск. Фильтр по документу → столбцы User, Event (edit), Timestamp. Требует лицензии Google Workspace Enterprise.

#### Для Microsoft 365 (SharePoint/OneDrive/Office Online)
- История версий (в любом плане): Открыть документ → Иконка информации (i) → История версий. У каждой версии указано, кто сохранил (User Name).
- Аудит (нужна роль администратора): Compliance Center → Audit → Search. Запрос: `Item: "имя файла" AND Operation: "Document edited"`. Выгрузить логи в CSV.

#### Для Яндекс.Диска (личного/тариф "Бизнес")
- История версий (только для премиум-аккаунтов): ПКМ по файлу → История версий. Имя автора видно, если версия создана при входе в учётную запись.
- Аудит организации (Яндекс 360 для бизнеса): Панель администратора → Аудит → Файлы. Фильтр по названию документа, тип события «Изменение» — показывает login пользователя.

#### Для локальных сетевых папок (SMB/CIFS, Windows Server)
- Включение аудита через GPO (требуются права администратора домена): Администрирование → Управление групповой политикой → Политики → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита → Аудит доступа к объектам.
- Проверка журналов событий: Event Viewer → Windows Logs → Security. Искать Event ID 4663 (доступ к объекту), 4656 (дескриптор открыт), 5145 (проверка сети). В описании — имя пользователя, путь к файлу, доступ (WriteData = изменение). Пример команды PowerShell для фильтрации:
powershell
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4663 -and $_.Message -like "\\папка\\документ.docx" } | Format-List


#### Для облачных сервисов без админ-панели (Google Диск личный, Dropbox Free)
- Доступна только история версий (ограниченная), идентификация автора не показывается, если файл открыт по ссылке без входа. Единственный легальный способ — опрос участников общего доступа на основе временных меток правок.

#### Если доступ был без авторизации (публичная ссылка)
- Установить личность невозможно без дополнительных методов (IP, User-Agent), которые требуют судебного запроса или согласия владельца инфраструктуры (провайдера, хостинга). Рекомендуется ограничить доступ и включить принудительную авторизацию.

Важно: все действия выполнять только при наличии законных оснований (собственный сервер, договор с пользователями, санкция руководителя). Для судебного доказывания потребуется заверенная выписка из логов с цифровой подписью провайдера.