Всем добрый день!

Исходные данные детектива:

- есть сетевая расшаренная папка на доменном файловом сервере под Win 2003 Server (папок на самом деле море, но проблема с одной)
- в папке около 360 шт *.doc, *.docx, *.xls, *.xlsx файлов
- с папкой с локальных компов работают 2 доменных юзера, с правами на Изменение (у них Win7, Office 2010, KES 10)
- папка на компах юзеров прописана как сетевой диск U: (это оказалось имеет значение, см. далее ...)

Проблема:

Где-то с марта 2016 из папки стали спонтанным образом пропадать файлы по 110 - 150 шт за раз.
Т.к. сначала это происходило не часто (раз в 1-2 недели), списывал это на косяки юзеров, хотя они дружно уходили в отказ, и восстанавливал пропажу из бекапа. Когда удаления файлов пошли через 2-3 дня и чаще, начал копать...

Что сделал:

- включил аудит на папку на сервере (он показал, да, удаления идут с под этими юзерами, юзеры в моменты удаления ничего особенного по их словам не делают: открывают, редактируют файлы MS Office, используют поиск в виндовом проводнике)

- визуально список удаленных файлов не имеет никаких общих признаков в названиях, по которым их можно было бы отобрать поиском и случайно удалить скопом (по датам создания, изменения не смотрел)

- когда вконец это достало, написал скрипт, который тупо с периодом 1 мин мониторил кол-во файлов в шаре и, в момент пропадания более 10 шт, выдавал мне WTF на дисплей. Искать точный момент события по логу аудита на сервере затруднительно. Так удалось исключить потерю памяти у пользователя и опросить ее сразу: что ты сейчас сделала?! Юзер всего лишь открыла файл *.docx :(

Проверяю сам:

- восстанавливаю пропажу из бекапа
- с компа юзера, и под ее пользователем открываю тот же *.docx (56 кб, 4 стр. обычного текста договора), - все, зловред найден - файлы удалились на моих глазах
- предполагаю, все просто - в файле сидит VBA код. Но, не тут-то было: по ALT-F11 в файле нет и намека на макросы. Да и запуск макросов у этих юзеров давно сам отключил в настройках Office
- копаю дальше и нахожу еще несколько *.docx с таким же "функционалом": их открытие в Word всегда удаляет 115 (!!!) файлов. Удаление происходит именно в момент открытия. Открытие *.xlsx проходит штатно.

Провожу эксперименты:

- копирую всю шару локально на комп юзера на диск D:, открываю *.docx под юзером - файлы не пропали, проблема только на шаре ...
- сажусь за свой комп (те же Win7, Office 2010 и KES 10), открываю *.docx на серверной шаре - права домен админа - файлы не пропали ...
- на компе юзера в Word сохраняю *.docx как *.doc, открываю *.doc под юзером - файлы не пропали ...
- на компе юзера в Word пересохраняю *.doc как *.docx (в надежде что зловред сидит в файле и потрется), открываю *.docx под юзером - файлы опять пропали :(
- предполагаю это баг пакета MS Office 2010 и накатываю на компы Service Pack 2 для Office 2010. Не помогло :(
- гружусь на компе юзера в свой профиль и открываю *.docx в сетевой шаре - файлы не пропали! Вот оно - баг в профиле юзера ...
- удаляю профиль юзера и создаю заново, вот сейчас все нормализуется... Фиг тебе - опять 115 шт файлов deleted :((
- задаюсь вопросом, а чем мой профиль (под ним файлы не удаляются) на компе юзера отличается от профиля юзера, кроме моих прав админа? Ответ: на шару в своем профиле захожу вбивая путь вручную в проводнике, в профиле юзера захожу через сетевой диск U:
- тут же в своем профиле подключаю папку как диск U: - всё, удаления при открытии *.docx начались и под поим профилем :(

Теряясь в догадках:

- меняю букву сетевого диска с U на другую (Y). Удаление прекратилось! И под моим профилем и в профиле юзера. На компе второго юзера, то же: замена буквы сетевого диска с U на любую другую свободную, снимает проблему.

Мистика. У кого-нибудь есть идеи? Что не так с буквой U сетевой шары?

Заранее спасибо за ответы!

Normal.dotx, спасибо!


Normal.dotx и список Надстроек проверял на двух компах юзеров, там визуально ничего подозрительного.

С утра поэкспериментировал на своем компе, получил еще порцию чудес. Начальные условия на моем компе:

- у меня нет подключенного сетевого диска под буквой U (с путем к той папке)
- открытие *.docx в Word проходит без проблем, файлы в шаре не удаляются

Экспериментирую:

- подключаю себе сетевой диск под буквой U:
- открываю U: в проводнике, открываю оттуда *.docx в Word - тут же пропадает 115 (!!!) файлов, как на компах юзеров
- восстанавливаю из бекапа
- открываю полный путь к папке в проводнике, открываю оттуда *.docx в Word - опять пропадает 115 шт
- восстанавливаю из бекапа
- открываю полный путь к папке в Total Commander, открываю оттуда *.docx в Word - опять пропадает 115 шт (а до создания U: - не пропадали!)
- отключаю U: на компе, и обнаруживаю еще странность...
- отключение U: через виндовый диалог (Сеть - Отключить сетевой диск) - удаляет U: из списка подключенных, в Проводнике U: не видно, НО (!) ...
- в Total Commander, даже после его перезапуска, U: по-прежнему есть (!) и работает
- соответственно, открытие *.docx в Word (при любом задании пути к папке и файловом менеджере) - опять пропадает 115 шт
- отключаю "скрытый" U: через диалог Total Commander (тоже, Сеть - Отключить сетевой диск...) - проблема с удалением снимается

Т.е. на сейчас вывод такой:

- удаление 115 файлов в сетевой папке при открытии *.docx в Word происходит в случае, если на компе (проверено на трех) есть подключенный сетевой диск с присвоенной буквой U: и только U

Сегодня, позднее копну дальше, а пока работаем :). Заранее спасибо за идеи!

HandKot, спасибо!

Действительно, инфа по ссылке оказалась очень полезной.

Оказалось, что проблемные *.docx были созданы на основе одного пользовательского шаблона *.dotx, который лежит на диске U:. Путь к этому шаблону (именно через U: в моем случае) сохраняется в теле вновь создаваемого *docx файла. Как посмотреть нашел по вашей ссылке:

- открываем *.docx в Word
- Файл - Параметры - Надстройки - внизу окна, выпадающий список - Управление - выбираем Шаблоны, - жмем Перейти
- в открывшемся окне в поле [Шаблон документа] видим путь - через U: (!) - и имя исходного шаблона

Все становится на половину ясным:

- есть на любом компе сетевой диск U:, - шаблон U:\*.dotx виден, и ...
- пока не понятно как открытие *.docx в Word приводит к удалению файлов в шаре U:
- как только меняю имя шаблона U:\*.dotx - он становится не виден по старому пути - удаления файлов прекращаются

Т.е. косяк сидит в пользовательском шаблоне U:\*.dotx. Пока не ковырял его плотно. К сожалению, не могу выложить шаблон сюда.