Bagaimana cara mengidentifikasi nama profil pengguna (asli) dari nama akun pengguna yang diubah di Windows?

8

Di Windows, nama akun pengguna akan berbeda dari nama profil pengguna setelah diubah dari Control Panel.

Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?

Fenixtriver
sumber

Jawaban:

6

Ada dua "nama" properti dari setiap akun, jadi izinkan saya mengklarifikasi hal-hal sedikit sehingga kami tidak bingung. Salah satunya adalah nama akun SAM (Manajer Akun Keamanan), yang muncul di output dari net user. Ini adalah nama akun sejauh komponen OS tingkat rendah yang bersangkutan. Yang lainnya adalah nama tampilan, yang muncul di halaman Akun Pengguna Panel Kontrol dan di menu Mulai. Pengguna dan Grup lokal snap-in untuk MMC ( lusrmgr.msc) menunjukkan keduanya: nama SAM di kolom Nama, dan nama tampilan di kolom Nama Lengkap. Nama SAM adalah apa yang digunakan untuk menghasilkan folder profil.

Sangat tidak mudah untuk mengubah nama SAM kecuali jika Anda menggunakan snap-in MMC ini. Hanya perubahan pada nama SAM yang menghasilkan peristiwa 4781. Saya curiga, mengingat bahwa Anda tidak melihat peristiwa 4781 di log Anda, bahwa hanya nama tampilan yang diubah. Ini hanya menghasilkan peristiwa 4738 ("akun pengguna diubah"). Peristiwa 4738 hanya mencantumkan nilai baru untuk nama tampilan, bukan nilai lama, dan saya menduga riwayat nama tampilan tidak disimpan di mana pun (harapan terbaik Anda adalah menggali log untuk lebih banyak contoh 4738).

Untungnya, menemukan jalur profil dari nama tampilan tidak terlalu sulit. Buka PowerShell dan ketik perintah ini:

gwmi win32_useraccount

Anda mendapatkan banyak entri yang terlihat seperti ini:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Temukan yang FullNamemenampilkan nama tampilan akun tersebut. Kemudian lihat SIDnilainya (Saya sudah reduksi mesin SID saya di sini). Buka Registry dan arahkan ke kunci yang disebutkan oleh harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Buka subkunci dengan nama yang sama dengan SID yang Anda temukan. The ProfileImagePathnilai memegang path ke folder profil mereka.

Ben N
sumber
Saya mendapatkan pesan kesalahan ini setelah saya memasukkan perintah yang dinyatakan oleh Anda:Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....
Fenixtriver
@FeniXtriver Ups, sepertinya Get-LocalUsercmdlet tidak ada di versi Windows 7 PowerShell. (Saya menguji pada Windows 10.) Saya mengedit jawaban saya untuk bekerja pada Windows 7 juga.
Ben N
Saya benar-benar diuji pada Windows 10 juga, tetapi sepertinya tidak berhasil. Bagaimanapun, perintah baru yang diberikan bekerja sekarang. Terima kasih banyak atas masukan Anda yang berharga. Saya telah menandai jawaban Anda dengan benar. :)
Fenixtriver
8

Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?

Lihat di log Acara Sistem Keamanan Windows untuk EventID 4781: Nama akun diubah :

4781: Nama akun diubah

Pengguna yang diidentifikasi oleh Subjek: mengubah nama masuk normal atau nama masuk pra-Win2k dari pengguna yang diidentifikasi oleh Akun Target :. Event 4738 sebenarnya memberikan informasi yang lebih baik tentang perubahan ini.

Acara ini dicatat baik untuk akun SAM lokal dan akun domain.

Anda juga akan melihat ID peristiwa 4738 yang memberi tahu Anda tentang informasi yang sama.

Subyek:

Sesi pengguna dan masuk yang melakukan tindakan.

  • ID Keamanan: SID akun.
  • Nama Akun: Nama masuk akun.
  • Domain Akun: Domain atau - dalam kasus akun lokal - nama komputer.
  • ID masuk adalah nomor semi-unik (unik antar reboot) yang mengidentifikasi sesi masuk. ID masuk memungkinkan Anda untuk mengkorelasikan mundur ke peristiwa masuk (4624) serta dengan peristiwa lain yang dicatat selama sesi masuk yang sama.

Akun Target:

  • ID Keamanan: SID akun
  • Nama Akun: nama akun
  • Domain Akun: domain akun
  • Nama Akun Lama: nama masuk lama
  • Nama Akun Baru: nama masuk baru

Sumber EventID 4781: Nama akun telah diubah

DavidPostill
sumber
Saya tidak dapat menemukan acara ini di Log Acara. Apakah ada kemungkinan lain selain nama akun pengguna yang diubah agar nama akun pengguna berbeda dari nama profil pengguna? Atau adakah cara lain untuk mengidentifikasi?
Fenixtriver
@FeniXtriver Anda mencari di log peristiwa keamanan ? Saya tidak tahu tentang cara lain untuk mengubah nama profil pengguna kecuali seseorang meretas registri.
DavidPostill
1
Saya menduga ada beberapa kebingungan tentang nama akun SAM vs nama tampilan yang terjadi di sini. Saya baru saja menguji dan mengubah nama tampilan (mis. Dengan Control Panel) tidak membuat event 4781 karena tidak mengubah nama SAM.
Ben N
@ DavidPostill Ya, saya telah melihat log peristiwa Keamanan. Saya percaya Ben N benar. Dan saya sudah menandai jawabannya sebagai benar. Terima kasih atas bantuan Anda. Jangan ragu untuk memberi tahu saya jika Anda masih memiliki sesuatu untuk ditambahkan. :)
Fenixtriver
8

Jawaban ini didasarkan pada fakta bahwa mengganti nama akun pengguna tidak secara otomatis mengubah jalur profil.

Jika akun diganti nama tetapi jalur profil tidak diubah, nama jalur dapat ditemukan di registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList di bawah dalam item bernama ProfileImagePathyang nilainya akan C:\Users\old-user-name.

gambar Klik untuk gambar yang lebih besar

Untuk mengonversi SID yang ditandai ke nama akun pengguna saat ini, masukkan cmd perintah:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
harrymc
sumber
1
Untuk menambahkan lebih banyak ... tidak net usermencantumkan nama pengguna lama juga? Oke, jika ada banyak nama pengguna, masih sulit untuk dipecahkan, tetapi pada komputer biasanya tidak.
LPChip
1
@harrymc Bagaimana Anda tahu jalur profil mana untuk nama akun itu?
Fenixtriver
1
Salah satu caranya adalah dengan mengambil kunci, yang merupakan string panjang dimulai dengan 'S' dan masukkan dalam cmd perintah wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name.
harrymc
@ LPChip, Anda benar.
Fenixtriver
@harrymc Masalahnya adalah kita tidak tahu apa itu SID. Saya telah menandai jawaban Ben N yang benar saat ini. Terima kasih banyak atas masukan Anda. Jangan ragu untuk memberi tahu saya jika Anda memiliki sesuatu untuk ditambahkan. :)
Fenixtriver