Come identificare il nome del profilo utente (originale) da un nome account utente modificato in Windows?

8

Su Windows, il nome di un account utente sarebbe diverso dal nome del profilo utente dopo essere stato modificato dal Pannello di controllo.

Come trovare il nome del profilo utente originale da un nome account utente modificato?

windows-7  windows  windows-10  user-accounts  user-profiles 
Fenixtriver
fonte

Risposte:

6

Esistono due proprietà "name" di ciascun account, quindi permettimi di chiarire un po 'le cose in modo da non confonderci. Uno è il nome dell'account SAM (Security Account Manager), che appare nell'output di net user. Questo è il nome dell'account per quanto riguarda i componenti del sistema operativo di basso livello. L'altro è il nome visualizzato, che appare nella pagina Account utente del Pannello di controllo e nel menu Start. Lo snap-in Utenti e gruppi locali per MMC ( lusrmgr.msc) mostra entrambi: il nome SAM nella colonna Nome e il nome visualizzato nella colonna Nome completo. Il nome SAM è ciò che viene utilizzato per produrre la cartella del profilo.

Non è molto facile cambiare il nome SAM a meno che non si usi questo snap-in MMC. Solo le modifiche al nome SAM producono l'evento 4781. Sospetto, dato che non vedi un evento 4781 nel tuo registro, che è stato modificato solo il nome visualizzato. Questo produce solo l'evento 4738 ("un account utente è stato modificato"). L'evento 4738 elenca solo il nuovo valore per il nome visualizzato, non il vecchio valore, e sospetto che la cronologia dei nomi visualizzati non sia conservata da nessuna parte (la tua migliore speranza sarebbe quella di scavare nei registri per più istanze di 4738).

Fortunatamente, trovare il percorso del profilo da un nome visualizzato non è troppo difficile. Apri PowerShell e digita questo comando:

gwmi win32_useraccount

Ottieni un sacco di voci che assomigliano a questo:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Trova quello con la FullNamevisualizzazione del nome visualizzato dell'account. Quindi guarda il SIDvalore (ho redatto il SID della mia macchina qui). Apri il registro e vai alla chiave menzionata da harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Apri la sottochiave denominata uguale al SID che hai trovato. Il ProfileImagePathvalore contiene il percorso della cartella del profilo.

Ben N
fonte
Ricevo questo messaggio di errore dopo aver inserito il comando come indicato da te:Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....
Fenixtriver,
@FeniXtriver Spiacenti, sembra che il Get-LocalUsercmdlet non esista nella versione Windows 7 di PowerShell. (Ho testato su Windows 10.) Ho modificato la mia risposta per funzionare anche su Windows 7.
Ben N
In realtà ho provato anche su Windows 10, ma non sembra funzionare. Comunque, il nuovo comando dato funziona ora. Grazie mille per il tuo prezioso contributo. Ho contrassegnato la tua risposta corretta. :)
Fenixtriver,
8

Come trovare il nome del profilo utente originale da un nome account utente modificato?

Cerca nel registro eventi del sistema di sicurezza di Windows per EventID 4781: il nome di un account è stato modificato :

4781: il nome di un account è stato modificato

L'utente identificato dall'oggetto: ha cambiato il nome di accesso normale o il nome di accesso pre-Win2k dell'utente identificato dall'account di destinazione :. L'evento 4738 fornisce effettivamente migliori informazioni su questa modifica.

Questo evento viene registrato sia per gli account SAM locali che per gli account di dominio.

Vedrai anche l'ID evento 4738 che ti informa delle stesse informazioni.

Soggetto:

La sessione utente e di accesso che ha eseguito l'azione.

  • ID sicurezza: il SID dell'account.
  • Nome account: il nome di accesso all'account.
  • Dominio account: il dominio o - nel caso di account locali - nome del computer.
  • L'ID di accesso è un numero semi-univoco (univoco tra i riavvii) che identifica la sessione di accesso. L'ID di accesso consente di correlare all'indietro con l'evento di accesso (4624) e con altri eventi registrati durante la stessa sessione di accesso.

Conto target:

  • ID sicurezza: SID dell'account
  • Nome account: nome dell'account
  • Dominio account: dominio dell'account
  • Nome account precedente: nome di accesso precedente
  • Nome nuovo account: nuovo nome di accesso

Fonte EventID 4781: Il nome di un account è stato cambiato

DavidPostill
fonte
Non è stato possibile trovare questo evento nel registro eventi. Esistono altre possibilità oltre alla modifica del nome dell'account utente in modo che il nome dell'account utente sia diverso dal nome del profilo utente? O c'è un altro modo per identificare?
Fenixtriver,
@FeniXtriver Hai cercato nel registro eventi di sicurezza ? Non conosco altri modi per modificare il nome del profilo utente a meno che qualcuno non abbia violato il registro.
DavidPostill
1
Ho il sospetto che ci sia un po 'di confusione sul nome dell'account SAM e sul nome visualizzato in corso qui. Ho appena testato e cambiando il nome visualizzato (ad es. Con il Pannello di controllo) non crea l'evento 4781 perché non cambia il nome SAM.
Ben N
@DavidPostill Sì, ho esaminato il registro eventi di sicurezza. Credo che Ben N's abbia ragione. E ho contrassegnato la sua risposta come corretta. Grazie per l'aiuto comunque. Sentiti libero di farmi sapere se hai ancora qualcosa da aggiungere. :)
Fenixtriver,
8

Questa risposta si basa sul fatto che la ridenominazione dell'account utente non modifica automaticamente il percorso del profilo.

Se l'account è stato rinominato ma il percorso del profilo non è stato modificato, è possibile trovare il nome percorso nel registro sotto HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList l'elemento denominato il ProfileImagePathcui valore sarà C:\Users\old-user-name.

Immagine clicca per ingrandire l'immagine

Per convertire il SID contrassegnato nel nome dell'account utente corrente, immettere in cmd il comando:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
harrymc
fonte
1
Per aggiungere altro ... non net userelenca anche i vecchi nomi utente? Va bene, se ci sono molti nomi utente, è ancora difficile da capire, ma di solito non lo è su un PC.
LPChip,
1
@harrymc Come faresti a sapere quale percorso del profilo è per quale nome account quindi?
Fenixtriver,
1
Un modo sarebbe quello di prendere la chiave, che è una lunga stringa che inizia con 'S' e immettere cmd il comando wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name.
harrymc,
@LPChip, hai ragione.
Fenixtriver,
@harrymc Il problema è che non sapremmo in primo luogo quale sia il SID. Ho contrassegnato la risposta di Ben N in questo momento. Grazie mille per il tuo contributo comunque. Sentiti libero di farmi sapere se hai qualcosa da aggiungere. :)
Fenixtriver,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.