Мы пытаемся определить, какой из 20-30 компьютеров использовался предыдущим сотрудником. Мы знаем, что на одном компьютере были две учетные записи, но одна из них была удалена около 6 месяцев назад. Данный компьютер - единственный компьютер, у которого была удалена учетная запись в прошлом году. У очень немногих других компьютеров были удалены учетные записи, поэтому не будет проблемой, если будут найдены все удаленные учетные записи пользователей, а не только одна, удаленная в этом году.

Обе учетные записи пользователей имеют права администратора. Там нет точек восстановления системы, которые датируются так далеко назад.

Целью этого является использование какого-либо стороннего инструмента для восстановления некоторых потерянных данных из этой учетной записи. Мы не хотим пробовать это на всех компьютерах, так как это может занять много времени и потенциально рискованно. Мы знаем пароль от учетной записи.

Есть ли способ, без установки какого-либо программного обеспечения, определить, была ли удалена учетная запись пользователя (и, если возможно, имя указанной учетной записи)?

Редактировать:

Я хотел бы восстановить файлы Excel, небольшие .txt-файлы (несколько КБ), файлы, используемые определенным инструментом моделирования и т.д. Все, что хранится в My Documents , и / или в папке C:\SimulationTool\Folder\Data .

Я попытался найти на сервере (где должны храниться файлы, относящиеся к проекту) файлы, принадлежащие этому пользователю, но файлы не были найдены. Это было очень странно, но это возможно, так как работник работал только в течение короткого времени.

|источник

1 ответ1

0

По крайней мере, было бы трудно определить, была ли учетная запись удалена так давно. В зависимости от использования компьютеров любые восстанавливаемые файлы вполне могут быть перезаписаны. Для восстановления файлов лучше всего установить программное обеспечение для восстановления файлов на другом компьютере и использовать его для проверки диска соответствующего компьютера.

Однако, если вы хотите попробовать поиск вручную, вы можете попробовать следующее:

Прежде всего, начните с просмотра всех журналов просмотра событий. Прочесать каждую запись, даже новые. Возможно, в журнале будет указано имя учетной записи. Я бы обратил пристальное внимание на журналы ошибок. Возможно, эта учетная запись была использована для настройки службы. Если служба больше не работает, мы надеемся, перечислите имя учетной записи или SID, связанный с ней.

Говоря о SID, вы можете перечислить владельца / создателя всех файлов в системе. Хотя имя учетной записи не будет отображаться, SID останется для всех файлов, связанных с этой учетной записью.

Если вы хотите пойти еще дальше, посмотрите на каждый файл .log и .txt, чтобы узнать о существовании учетных записей.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .