Como verificar o criador de um arquivo no Windows?

Normalmente, o 'proprietário' é o criador, mas como o usuário faz parte do grupo de administradores, todos os administradores recebem direitos de proprietário (assim, quando um administrador deixa uma organização, não há arquivos órfãos em um sistema de arquivos que ninguém além de root pode deletar etc). Isso não é tanto um problema com o próprio Windows, tanto quanto o NTFS - e o campo adicional do criador seria legal. Se você precisar fazer uma análise mais forense, os formatos de dados proprietários (office: .doc (x), .xls (x) etc) geralmente contêm alguns metadados sobre quem os criou. Para este fim, vale a pena notar que os formatos do office 2007+ são simplesmente arquivos e diretórios xml (altere a extensão do arquivo para .zip ou ... openwith your gunzip program from choice)

O Windows não é diferente de outros sistemas operacionais, no Linux todos os arquivos pertencem a um usuário, mas você pode alterá-lo se tiver privilégios suficientes, para criar um arquivo e atribuí-lo a outro usuário.

Além disso, observe que, em algumas situações, saber o criador real seria impossível: por exemplo, se você copiar um arquivo em uma pasta compartilhada pública, quem será o proprietário do arquivo? Você criou o arquivo, mas é provável que seu usuário não exista no computador que armazena o arquivo, por isso não pode atribuir o arquivo a você.

Ummm, esse arquivo está em uma pasta compartilhada? Talvez seja por isso que o arquivo é atribuído a um grupo em vez de um usuário específico.