我如何知道是否有人登录了我的 Windows 7 帐户？

Question 1

推荐方法已编辑（请在下方为 Susan Cannon 点赞）：

按下Windows按钮 +R并输入eventvwr.msc。
在事件查看器中，展开 Windows 日志并选择系统。
在中间，您将看到一个列表，其中包含日期和时间、来源、事件 ID 和任务类别。任务类别几乎解释了事件、登录、特殊登录、注销和其他详细信息。

该活动将被称为操作系统，事件 ID7001。

活动详情将包含用户名称帐户登录，您可以将其与使用以下命令从命令提示符获取的列表进行匹配：

wmic useraccount

希望这可以帮助！

要查看列表，请运行“PowerShell”，并将以下脚本粘贴到其窗口中：

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

您将拥有一堆系统登录信息；它们是正常的。

您要寻找的是： 事件 ID 7001 - Winlogon。

在“详细信息”选项卡下，查找用户名称

登录指示将如下所示：（win 8.1）在 win 7 中这可能会有所不同

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

然后通过右键单击开始按钮并选择它来打开命令提示符。

输入“wmic useraccount”，并在出现的长列表中将 SID 与前面的用户名进行匹配。

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

我们从列表中看到超级用户是与 SID 匹配的帐户。

Answer

推荐方法已编辑（请在下方为 Susan Cannon 点赞）：

按下Windows按钮 +R并输入eventvwr.msc。
在事件查看器中，展开 Windows 日志并选择系统。
在中间，您将看到一个列表，其中包含日期和时间、来源、事件 ID 和任务类别。任务类别几乎解释了事件、登录、特殊登录、注销和其他详细信息。

该活动将被称为操作系统，事件 ID7001。

活动详情将包含用户名称帐户登录，您可以将其与使用以下命令从命令提示符获取的列表进行匹配：

wmic useraccount

希望这可以帮助！

要查看列表，请运行“PowerShell”，并将以下脚本粘贴到其窗口中：

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

您将拥有一堆系统登录信息；它们是正常的。

您要寻找的是： 事件 ID 7001 - Winlogon。

在“详细信息”选项卡下，查找用户名称

登录指示将如下所示：（win 8.1）在 win 7 中这可能会有所不同

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

然后通过右键单击开始按钮并选择它来打开命令提示符。

输入“wmic useraccount”，并在出现的长列表中将 SID 与前面的用户名进行匹配。

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

我们从列表中看到超级用户是与 SID 匹配的帐户。

Question 2

探路者的答案检查事件日志可以让您知道是否有人登录了您的计算机。但是，这不会告诉您他们是否使用您的帐户登录了另一台计算机。您必须检查该计算机或域控制器才能查看来自其他计算机的登录信息。

至于电子邮件，那是另一回事。作为 Exchange 管理员，我能阅读我们组织中任何人的电子邮件。老实说，我不知道这种访问是否记录在任何地方。我确信会有记录，但只有 Exchange 管理员才可以记录。

Answer

探路者的答案检查事件日志可以让您知道是否有人登录了您的计算机。但是，这不会告诉您他们是否使用您的帐户登录了另一台计算机。您必须检查该计算机或域控制器才能查看来自其他计算机的登录信息。

至于电子邮件，那是另一回事。作为 Exchange 管理员，我能阅读我们组织中任何人的电子邮件。老实说，我不知道这种访问是否记录在任何地方。我确信会有记录，但只有 Exchange 管理员才可以记录。

Question 3

如果您使用的是公司网络，则此方法无效。公司有各种自动登录。我查看了事件 4648 或 4624，即使人们不在办公室，登录也会成功记录（没有人偷偷溜进去登录 PC）。有成千上万个这样的事件。我只登录过 PC 一次，4624 下有 10 个活动源。我没有登录 10 次。昨天 4648 下有 12 次登录，但当天根本没有人碰过 PC。因此，这不是真实人员登录的准确列表。

如果你需要真实的登录信息，请访问系统在 Windows 日志下，并按事件进行过滤7001. 成功了威力登。这对应于用户登录，并排除后台的系统登录。使用这个，我找到了登录到 PC 的真实人员用户的正确列表。

但不幸的是，它仍然没有告诉我谁登录了。我们公司不保留这些记录，因为每天都会有一英里长的记录。我在详细信息中查看了用户 ID，刚刚登录的用户 ID 与显示的每个登录下的其他用户 ID 相匹配。这不是我的电脑，所以有些登录肯定不是我的。所以我不知道那部分。

Answer

如果您使用的是公司网络，则此方法无效。公司有各种自动登录。我查看了事件 4648 或 4624，即使人们不在办公室，登录也会成功记录（没有人偷偷溜进去登录 PC）。有成千上万个这样的事件。我只登录过 PC 一次，4624 下有 10 个活动源。我没有登录 10 次。昨天 4648 下有 12 次登录，但当天根本没有人碰过 PC。因此，这不是真实人员登录的准确列表。

如果你需要真实的登录信息，请访问系统在 Windows 日志下，并按事件进行过滤7001. 成功了威力登。这对应于用户登录，并排除后台的系统登录。使用这个，我找到了登录到 PC 的真实人员用户的正确列表。

但不幸的是，它仍然没有告诉我谁登录了。我们公司不保留这些记录，因为每天都会有一英里长的记录。我在详细信息中查看了用户 ID，刚刚登录的用户 ID 与显示的每个登录下的其他用户 ID 相匹配。这不是我的电脑，所以有些登录肯定不是我的。所以我不知道那部分。

Question 4

Windows 7 Ultimate 已连接到域，但在本地登录。

我刚刚查看了安全事件日志，发现唯一能找到“合法”登录的是 ID4648.这对我有用。

Answer

Windows 7 Ultimate 已连接到域，但在本地登录。

我刚刚查看了安全事件日志，发现唯一能找到“合法”登录的是 ID4648.这对我有用。

我如何知道是否有人登录了我的 Windows 7 帐户？

答案1

答案2

答案3

答案4

相关内容