Jak rozpoznać (oryginalną) nazwę profilu użytkownika na podstawie zmienionej nazwy konta użytkownika w systemie Windows?

Odpowiedzi:

6

Istnieją dwa właściwości „nazwy” każdego konta, więc pozwólcie, że wyjaśnię trochę, abyśmy się nie mylili. Jednym z nich jest nazwa konta SAM (Security Account Manager), która pojawia się na wyjściu net user. To jest nazwa konta, jeśli chodzi o komponenty systemu operacyjnego niskiego poziomu. Druga to nazwa wyświetlana, która pojawia się na stronie Konta użytkowników Panelu sterowania oraz w menu Start. Przystawka Lokalni użytkownicy i grupy dla MMC ( lusrmgr.msc) pokazuje zarówno: nazwę SAM w kolumnie Nazwa, jak i nazwę wyświetlaną w kolumnie Pełna nazwa. Nazwa SAM jest używana do utworzenia folderu profilu.

Zmiana nazwy SAM nie jest łatwa, chyba że użyjesz tej przystawki MMC. Tylko zmiany w nazwie SAM powodują zdarzenie 4781. Podejrzewam, biorąc pod uwagę, że nie widzisz zdarzenia 4781 w twoim dzienniku, że zmieniła się tylko nazwa wyświetlana. To powoduje tylko zdarzenie 4738 („konto użytkownika zostało zmienione”). Zdarzenie 4738 wyświetla tylko nową wartość wyświetlanej nazwy, a nie starą wartość. Podejrzewam, że historia nazw wyświetlanych nie jest nigdzie przechowywana (twoją nadzieją byłoby przekopanie się do dzienników w poszukiwaniu większej liczby instancji 4738).

Na szczęście znalezienie ścieżki profilu z wyświetlanej nazwy nie jest zbyt trudne. Otwórz PowerShell i wpisz następujące polecenie:

gwmi win32_useraccount

Otrzymasz kilka wpisów, które wyglądają tak:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Znajdź ten z FullNamewyświetlaną nazwą konta. Następnie spójrz na SIDwartość (zredagowałem tutaj SID mojej maszyny). Otwórz rejestr i przejdź do klucza wymienionego przez harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Otwórz podklucz o tej samej nazwie co znaleziony identyfikator SID. ProfileImagePathWartość posiada ścieżkę do swojego folderu profilu.

Ben N.
źródło
Dostaję ten komunikat o błędzie po wprowadzeniu polecenia, jak powiedziałeś:Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....
Fenixtriver,
@FeniXtriver Ups, wygląda na to, że Get-LocalUsercmdlet nie istnieje w wersji Windows 7 PowerShell. (Przetestowałem na Windows 10.) Zredagowałem swoją odpowiedź, aby pracować również na Windows 7.
Ben N
Testowałem też na Windowsie 10, ale wydaje się, że nie działa. W każdym razie nowe polecenie działa teraz. Wielkie dzięki za cenny wkład. Twoja odpowiedź jest poprawna. :)
Fenixtriver
8

Jak znaleźć oryginalną nazwę profilu użytkownika ze zmienionej nazwy konta użytkownika?

Sprawdź w dzienniku zdarzeń Systemu zabezpieczeń systemu Windows identyfikator zdarzenia 4781: Nazwa konta została zmieniona :

4781: Nazwa konta została zmieniona

Użytkownik zidentyfikowany przez Temat: zmienił normalną nazwę logowania lub wcześniejszą nazwę logowania użytkownika zidentyfikowanego przez Konto docelowe :. Wydarzenie 4738 zapewnia lepsze informacje na temat tej zmiany.

To zdarzenie jest rejestrowane zarówno dla lokalnych kont SAM, jak i kont domeny.

Zobaczysz także identyfikator zdarzenia 4738 informujący o tych samych informacjach.

Przedmiot:

Sesja użytkownika i logowania, która wykonała akcję.

  • Identyfikator bezpieczeństwa: identyfikator SID konta.
  • Nazwa konta: nazwa logowania do konta.
  • Domena konta: domena lub - w przypadku kont lokalnych - nazwa komputera.
  • Identyfikator logowania to częściowo unikatowy (unikalny między kolejnymi uruchomieniami) numer identyfikujący sesję logowania. Identyfikator logowania pozwala skorelować wstecz ze zdarzeniem logowania (4624), a także z innymi zdarzeniami zarejestrowanymi podczas tej samej sesji logowania.

Konto docelowe:

  • Identyfikator bezpieczeństwa: SID konta
  • Nazwa konta: nazwa konta
  • Domena konta: domena konta
  • Nazwa starego konta: stara nazwa logowania
  • Nazwa nowego konta: nowa nazwa logowania

Źródło EventID 4781: Nazwa konta została zmieniona

DavidPostill
źródło
Nie mogłem znaleźć tego zdarzenia w Dzienniku zdarzeń. Czy istnieje jakakolwiek inna możliwość niż zmiana nazwy konta użytkownika, aby nazwa konta użytkownika różniła się od nazwy profilu użytkownika? Czy jest jakiś inny sposób identyfikacji?
Fenixtriver
@FeniXtriver Zajrzałeś do dziennika zdarzeń bezpieczeństwa ? Nie znam innych sposobów zmiany nazwy profilu użytkownika, chyba że ktoś zhakował rejestr.
DavidPostill
1
Podejrzewam, że dzieje się tutaj pewne zamieszanie dotyczące nazwy konta SAM i nazwy wyświetlanej. Właśnie przetestowałem i zmiana nazwy wyświetlanej (np. Za pomocą Panelu sterowania) nie tworzy zdarzenia 4781, ponieważ nie zmienia nazwy SAM.
Ben N
@DavidPostill Tak, przejrzałem dziennik zdarzeń bezpieczeństwa. Wierzę, że Ben N ma rację. I zaznaczyłem jego odpowiedź jako poprawną. Mimo wszystko, dziękuję za twoją pomoc. Daj mi znać, jeśli nadal masz coś do dodania. :)
Fenixtriver
8

Ta odpowiedź opiera się na fakcie, że zmiana nazwy konta użytkownika nie powoduje automatycznej zmiany ścieżki profilu.

Jeśli nazwa konta została zmieniona, ale ścieżka profilu nie została zmieniona, nazwę ścieżki można znaleźć w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList w pozycji o nazwie, ProfileImagePathktórej wartość będzie C:\Users\old-user-name.

wizerunek Kliknij, aby powiększyć obrazek

Aby przekonwertować oznaczony SID na nazwę bieżącego konta użytkownika, wpisz w cmd polecenie:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
harrymc
źródło
1
Aby dodać więcej ... nie net userzawiera również starych nazw użytkowników? Okej, jeśli jest dużo nazw użytkowników, wciąż trudno jest je rozgryźć, ale na PC zazwyczaj tak nie jest.
LPChip
1
@harrymc Skąd miałbyś wiedzieć, która ścieżka profilu jest dla której nazwy konta?
Fenixtriver
1
Jednym ze sposobów byłoby zabranie klucza, który jest długim łańcuchem rozpoczynającym się od „S” i wpisanie polecenia cmd wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name.
harrymc
@LPChip, masz rację.
Fenixtriver
@harrymc Problem polega na tym, że nie wiedzielibyśmy, jaki jest SID. W tej chwili zaznaczyłem poprawną odpowiedź Bena N. W każdym razie bardzo dziękuję za Twój wkład. Daj mi znać, jeśli masz coś do dodania. :)
Fenixtriver
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.