在Windows 7中，如何查询计算机被锁定的时间？

Question 1

事件 ID 4800应该对应工作站已锁定，同样地事件 ID 4801应该对应工作站已解锁。

如果在事件查看器中看不到它们，为了记录未来事件，请尝试打开本地组策略编辑器（Start / Run / gpedit.msc），导航至：

计算机配置/Windows 设置/安全设置/高级审核策略配置/系统审核策略 - 本地组策略对象/登录/注销/审核其他登录/注销事件

并启用复选框成功和失败：

Answer

事件 ID 4800应该对应工作站已锁定，同样地事件 ID 4801应该对应工作站已解锁。

如果在事件查看器中看不到它们，为了记录未来事件，请尝试打开本地组策略编辑器（Start / Run / gpedit.msc），导航至：

计算机配置/Windows 设置/安全设置/高级审核策略配置/系统审核策略 - 本地组策略对象/登录/注销/审核其他登录/注销事件

并启用复选框成功和失败：

Question 2

我在 Windows 7 安全事件日志中发现了与锁定和解锁相对应的事件

4634 Logoff with (WinKey +L)
4624 and 4672 unlocking.

Answer

我在 Windows 7 安全事件日志中发现了与锁定和解锁相对应的事件

4634 Logoff with (WinKey +L)
4624 and 4672 unlocking.

Question 3

在 Windows 10 和活动目录中，在过滤器中选择事件 ID 和用户名不起作用，但在 XML 中使用以下内容可以起作用：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        System[(EventID=4648)]
        and
        EventData[Data[@Name='TargetUserName']='PUT_YOUR_USERNAME_HERE']
       ]
    </Select>
  </Query>
</QueryList>

Answer

在 Windows 10 和活动目录中，在过滤器中选择事件 ID 和用户名不起作用，但在 XML 中使用以下内容可以起作用：

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[
        System[(EventID=4648)]
        and
        EventData[Data[@Name='TargetUserName']='PUT_YOUR_USERNAME_HERE']
       ]
    </Select>
  </Query>
</QueryList>

在Windows 7中，如何查询计算机被锁定的时间？

答案1

答案2

答案3

相关内容