На моем компьютере с Windows 7 было две учетных записи: UserA и UserB. У меня были файлы в корзине пользователя B, затем я удалил эту учетную запись, когда вошел в систему как пользователь A.

Что случилось с файлами в корзине UserB? Как я могу их восстановить?

1 ответ1

4

Ну, я не знаю точно, что происходит, когда учетная запись удаляется, но это достаточно простой эксперимент, если у вас есть права администратора.  Как вы можете сделать этот эксперимент?  Как вы можете восстановить файлы?  Как вы можете получить к ним доступ как пользователь, не являющийся владельцем?

  • В командной строке cd \$Recycle.Bin и сделать dir/a .  Вы получите что-то вроде этого:

    Directory of C:\$Recycle.Bin
    
    02/15/2015  09:13 AM    <DIR>          .
    02/15/2015  09:13 AM    <DIR>          ..
    08/13/2014  03:49 PM    <DIR>          S-1-5-18
    02/15/2015  09:13 AM    <DIR>          S-1-5-20
    05/03/2015  01:52 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1000
    09/02/2015  10:56 AM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1001
    02/07/2015  04:17 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1004
    08/13/2014  12:46 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-500
                   0 File(s)              0 bytes
                   8 Dir(s)  123,456,789,042 bytes free
    

    Это корзины для всех пользователей.  Если вы используете командную строку с повышенными правами, dir/a/q покажет вам владельца каждой папки.  В моей системе

    • S-1-5-18 СИСТЕМА
    • S-1-5-20 - СЕТЕВАЯ СЛУЖБА
    • S-1-5-21-…-500 - встроенная учетная запись администратора
    • S-1-5-21-…-1000 - это учетная запись администратора, которую я создал при инициализации системы
    • S-1-5-21-…-1001 - это обычный аккаунт для себя, который я создал сразу после этого
    • S-1-5-21-…-1004 - это учетная запись для кого-то еще, которую я создал несколько недель спустя.

    Я никогда не удалял учетную запись на своем компьютере, поэтому я не уверен, но, согласно ОП, папка корзины пользователя не удаляется при удалении пользователя (как и домашний каталог).  В этом случае dir/a/q сообщит ... как владелец файла (ов) и папки (ов).

    Возможно, вы сможете сопоставить строки S-1-5-21-…- с именами пользователей, запустив редактор реестра (от имени администратора) и заглянув в HKEY_USERS . Попробуйте эти шаги:

    • перейдите к HKEY_USERS\S-1-5-21-…\Volatile Environment и посмотрите на значения HOMEPATH и USERPROFILE ,
    • поиск значений с именем Username ,
    • поиск значений, содержащих /Users/UserB или \Users\UserB .
       

    Пользовательские переменные среды будут находиться в HKEY_USERS\S-1-5-21-…\Environment , но это, вероятно, не очень поможет, потому что переменные, которые задают имена путей, вероятно, будут определены в терминах %USERPROFILE% .


    Другой способ сопоставить строки S-1-5-21-…- с именами пользователей - запустить команду wmic useraccount get name,sid - вам даже не нужно быть привилегированным (повышенным) для этого.  Я получил этот вывод:
    Name            SID
    Administrator   S-1-5-21-524270083-2407456217-743395210-500
    Guest           S-1-5-21-524270083-2407456217-743395210-501
    HomeGroupUser$  S-1-5-21-524270083-2407456217-743395210-1003
    scott-admin     S-1-5-21-524270083-2407456217-743395210-1000
    scott-friend    S-1-5-21-524270083-2407456217-743395210-1004
    scott-user      S-1-5-21-524270083-2407456217-743395210-1001
    

    Как я уже сказал, я никогда не удалял учетную запись на своем компьютере, поэтому я не знаю, будет ли в этом списке удаленные учетные записи.

    PS В приведенном выше листинге я поменял имена scott-… для анонимности.  В действительности, счета были перечислены в алфавитном порядке (по имени).

  • Если вы заходите в Проводник Windows, снимите флажок «Скрыть защищенные файлы операционной системы» в «Сервисах» → «Параметры папки…» → «Просмотр» и перейдите к \$Recycle.Bin , вы увидите что-то вроде этого:

         \$ Корзины.мусорное ведро

    Обратите внимание, что папка, которая отображается как «Корзина», на самом деле является S-1-5-21-…-1001 ; т.е. моя корзина  (Он отображается таким образом из-за своего файла desktop.ini .)  Эта папка также показывает, как корзины, на рабочем столе.

Теперь, когда вы знаете, как найти корзину другого пользователя, вы можете просто

  • cd в него в командной строке с повышенными правами и скопируйте файлы.  (Вам может понадобиться использовать xcopy или, по крайней мере, что-нибудь умнее, чем copy .)  Примечание. Файлы не будут иметь своих исходных имен, но будут иметь имена, такие как $A7Q42J9.DOC . Я не знаю, как восстановить оригинальные имена, но вы можете сделать это с помощью криминалистов:
    • Посмотрите на дату модификации,
    • посмотрите на размер, и
    • Открой это.
  • Получите право собственности, а затем получите доступ к папке в проводнике.  (Я не знаю, покажет ли это оригинальные имена файлов.)

И, конечно же, если папка корзины удаленного пользователя пропала, см. Как восстановить или «восстановить» файлы, которые я случайно удалил? и все его родственники.  Но теперь вы знаете, что ищете.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .