8

В Windows имя учетной записи пользователя будет отличаться от имени профиля пользователя после его изменения с панели управления.

Как найти исходное имя профиля пользователя из измененного имени учетной записи пользователя?

3 ответа3

8

Как найти исходное имя профиля пользователя из измененного имени учетной записи пользователя?

В журнале событий системы безопасности Windows найдите EventID 4781: имя учетной записи было изменено:

4781: имя учетной записи было изменено

Пользователь, указанный в Subject: изменил либо обычное имя входа в систему, либо имя входа в систему, предшествующее Windows 2000, для пользователя, идентифицированного целевой учетной записью :. Событие 4738 фактически предоставляет лучшую информацию об этом изменении.

Это событие регистрируется как для локальных учетных записей SAM, так и для учетных записей домена.

Вы также увидите событие с кодом 4738, информирующее вас о той же информации.

Предмет:

Пользователь и сеанс входа, который выполнил действие.

  • Идентификатор безопасности: SID учетной записи.
  • Имя учетной записи: имя для входа в учетную запись.
  • Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

Целевая учетная запись:

  • Идентификатор безопасности: SID учетной записи
  • Имя учетной записи: имя учетной записи
  • Домен аккаунта: домен аккаунта
  • Старое имя учетной записи: старое имя входа
  • Имя новой учетной записи: новое имя для входа

Источник EventID 4781: имя учетной записи было изменено

8

Этот ответ основан на том факте, что переименование учетной записи пользователя не приводит к автоматическому изменению пути профиля.

Если учетная запись была переименована, но путь к профилю не был изменен, имя пути можно найти в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList в элементе с именем ProfileImagePath , значением которого будет C:\Users\old-user-name .

образ нажмите для увеличения изображения

Чтобы преобразовать отмеченный SID в имя текущей учетной записи пользователя, введите в cmd команду:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
6

У каждой учетной записи есть два свойства "name", поэтому позвольте мне немного прояснить ситуацию, чтобы не запутаться. Одним из них является имя учетной записи SAM (Security Account Manager), которое отображается в выводе net user . Это имя учетной записи в отношении низкоуровневых компонентов ОС. Другое - это отображаемое имя, которое отображается на странице "Учетные записи пользователей" панели управления и в меню "Пуск". Оснастка "Локальные пользователи и группы" для MMC (lusrmgr.msc) отображает как: имя SAM в столбце "Имя", так и отображаемое имя в столбце "Полное имя". Имя SAM - это то, что используется для создания папки профиля.

Изменить имя SAM не очень легко, если вы не используете эту оснастку MMC. Только изменения в имени SAM вызывают событие 4781. Я подозреваю, что, учитывая, что вы не видите событие 4781 в своем журнале, изменилось только отображаемое имя. Это создает только событие 4738 ("учетная запись пользователя была изменена"). Событие 4738 перечисляет только новое значение для отображаемого имени, а не старое значение, и я подозреваю, что история отображаемых имен нигде не хранится (ваша лучшая надежда будет копать журналы для большего количества экземпляров 4738).

К счастью, найти путь к профилю по отображаемому имени не так уж сложно. Откройте PowerShell и введите эту команду:

gwmi win32_useraccount

Вы получаете кучу записей, которые выглядят так:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Найдите тот, у которого FullName показывает отображаемое имя учетной записи. Затем посмотрите на значение SID (я отредактировал здесь SID своего компьютера). Откройте реестр и перейдите к ключу, упомянутому harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Откройте подключ с именем, совпадающим с идентификатором SID, который вы нашли. Значение ProfileImagePath содержит путь к папке их профиля.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .