Рекомендований метод ВИДАЛЕНО (Будь ласка, оновіть Сьюзен Кеннон внизу):
Натисніть Windowsкнопку + Rі введіть eventvwr.msc.
У програмі перегляду подій розгорніть журнали Windows та виберіть Система.
У середині ви побачите список із датою та часом, джерелом, ідентифікатором події та категорією завдань. Категорія завдань в значній мірі пояснює подію, вхід в систему, спеціальний вхід в систему, вихід на сайт та інші деталі.
Події будуть називатися Winlogon , з ідентифікатором події 7001 .
Інформація про подію міститиме вхід у систему UserSid of Account, який ви можете зіставити зі списком, отриманим з командного рядка, використовуючи:
wmic useraccount
Сподіваюся, це допомагає!
Щоб переглянути список, запустіть "PowerShell" та вставте наступний сценарій у своє вікно:
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
У вас буде купа системних входів; вони нормальні.
Що ви будете шукати:
Ідентифікатор події 7001 - Winlogon.
На вкладці "Подробиці" шукайте UserSid
Вказівка на вхід буде виглядати приблизно так: (виграш 8.1) Це, ймовірно, буде різним у виграші 7
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
Потім відкрийте командний рядок, натиснувши правою кнопкою миші кнопку запуску та вибравши її.
Введіть "wmic useraccount" і порівняйте SID з попереднім ім'ям користувача у довгому списку, який з'являється.
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
Зі списку ми бачимо, що Superuser - це обліковий запис, що відповідає SID.