Gibt es in Windows 7 eine Möglichkeit, festzustellen, ob sich jemand in meinem Konto angemeldet hat, als ich abwesend war?
Kann man insbesondere wissen, ob eine Person mit Administratorrechten auf irgendeine Weise in mein Konto eingegangen ist (z. B. um in meine E-Mail usw. zu gelangen)?
Antworten:
Empfohlene Methode BEARBEITET (Bitte bewerten Sie Susan Cannon unten):
Drücken Sie die WindowsTaste + Rund geben Sie ein
eventvwr.msc
.Erweitern Sie in der Ereignisanzeige die Option Windows-Protokolle, und wählen Sie System aus.
In der Mitte sehen Sie eine Liste mit Datum und Uhrzeit, Quelle, Ereignis-ID und Aufgabenkategorie. Die Aufgabenkategorie erklärt so ziemlich das Ereignis, die Anmeldung, die spezielle Anmeldung, die Abmeldung und andere Details.
Die Ereignisse werden als Winlogon mit der Ereignis-ID 7001 bezeichnet .
Die Ereignisdetails enthalten die Benutzer-ID der Kontoanmeldung , die Sie mit einer von der Eingabeaufforderung erhaltenen Liste abgleichen können, indem Sie Folgendes verwenden:
Hoffe das hilft!
Um eine Liste anzuzeigen, führen Sie "PowerShell" aus und fügen Sie das folgende Skript in das Fenster ein:
Sie werden eine Reihe von Systemanmeldungen haben; Sie sind normal.
Was Sie suchen werden: Event ID 7001 - Winlogon.
Suchen Sie auf der Registerkarte Details nach UserSid
Die Anzeige eines Logins sieht folgendermaßen aus: (win 8.1) Dies wird wahrscheinlich in win 7 anders sein
Öffnen Sie dann die Eingabeaufforderung, indem Sie mit der rechten Maustaste auf die Startschaltfläche klicken und diese auswählen.
Geben Sie "wmic useraccount" ein und gleichen Sie die SID mit dem vorhergehenden Benutzernamen in der langen Liste ab.
Aus der Liste geht hervor, dass Superuser das Konto ist, das der SID entspricht.
quelle
wmic useraccount get name,sid
Erzeugt eine viel besser verwaltbare Ausgabe.Wenn Pathfinder das Ereignisprotokoll überprüft, werden Sie darüber informiert, ob sich jemand bei Ihrem Computer angemeldet hat. Dies sagt Ihnen jedoch nicht, ob Sie sich mit Ihrem Konto bei einem anderen Computer angemeldet haben. Sie müssten diesen Computer oder einen Domänencontroller überprüfen, um Anmeldungen von anderen Computern zu sehen.
Bei E-Mails ist das eine andere Geschichte. Als Exchange-Administrator kann ich die E-Mails aller Mitarbeiter in unserer Organisation lesen. Ehrlich gesagt, ich weiß nicht, ob dieser Zugriff irgendwo protokolliert wird. Ich bin mir sicher, dass dies der Fall ist, aber das steht nur Exchange-Administratoren zur Verfügung.
quelle
Wenn Sie sich in einem Unternehmensnetzwerk befinden, funktioniert dies nicht. Unternehmen haben alle Arten von automatischen Anmeldungen. Ich habe mir Ereignis 4648 oder 4624 angesehen, und Anmeldungen werden erfolgreich protokolliert, auch wenn sich keine Personen im Büro befinden (und nein, niemand schleicht sich an, um sich bei PCs anzumelden). Es gibt Tausende von ihnen. Ich habe mich gerade einmal am PC angemeldet und es gibt 10 Aktivitätsquellen unter 4624. Ich habe mich nicht 10 Mal angemeldet. Gestern gab es 12 Anmeldungen unter 4648, aber an diesem Tag hat niemand den PC berührt. Das ist also keine genaue Liste der Anmeldungen von echten Personen.
Wenn Sie die REAL-Anmeldeinformationen erhalten möchten, wechseln Sie unter Windows-Protokolle zu System , und filtern Sie nach Ereignis 7001 . Das ist erfolgreich WINLOGONS . Dies entspricht Benutzeranmeldungen und schließt Systemanmeldungen hinter den Kulissen aus. Auf diese Weise fand ich die richtige Liste der Benutzeranmeldungen von realen Personen am PC.
Leider erfahre ich immer noch nicht, wer eingeloggt ist. Unsere Firma führt diese Aufzeichnungen nicht, da sie jeden Tag eine Meile lang sein würden. Ich schaue mir die Benutzer-ID im Detail an und die Benutzer-ID, mit der ich mich gerade anmelde, stimmt mit jeder anderen Benutzer-ID unter jeder angezeigten Anmeldung überein. Und das ist nicht mein PC, also sind einige der Logins definitiv nicht von mir. Also weiß ich nichts über diesen Teil.
quelle
Windows 7 Ultimate ist mit einer Domäne verbunden, meldet sich jedoch lokal an.
Ich habe gerade das Sicherheitsereignisprotokoll durchgesehen und festgestellt, dass das einzige Mal, dass ich "legitime" Anmeldungen finden konnte, die ID 4648 war . Das hat bei mir funktioniert.
quelle