我的 Windows 7 计算机上有两个帐户,UserA 和 UserB。我在 UserB 的回收站中有文件,然后我以 UserA 身份登录时删除了该帐户。
用户 B 的回收站中的文件怎么了?我该如何恢复它们?
答案1
好吧,我不确定删除帐户后会发生什么,但如果您拥有管理员权限,这是一个很容易进行的实验。您如何进行该实验?您如何恢复文件?您如何以所有者以外的用户身份访问它们?
在命令提示符中,
cd \$Recycle.Bin
执行dir/a
。你将得到如下结果:Directory of C:\$Recycle.Bin 02/15/2015 09:13 AM <DIR> . 02/15/2015 09:13 AM <DIR> .. 08/13/2014 03:49 PM <DIR> S-1-5-18 02/15/2015 09:13 AM <DIR> S-1-5-20 05/03/2015 01:52 PM <DIR> S-1-5-21-524270083-2407456217-743395210-1000 09/02/2015 10:56 AM <DIR> S-1-5-21-524270083-2407456217-743395210-1001 02/07/2015 04:17 PM <DIR> S-1-5-21-524270083-2407456217-743395210-1004 08/13/2014 12:46 PM <DIR> S-1-5-21-524270083-2407456217-743395210-500 0 File(s) 0 bytes 8 Dir(s) 123,456,789,042 bytes free
这些是所有用户的回收站。如果您使用提升的命令提示符,
dir/a/q
将显示每个文件夹的所有者。在我的系统上,S-1-5-18
是系统S-1-5-20
是网络服务S-1-5-21-…-500
是内置管理员帐户S-1-5-21-…-1000
是我初始化系统时创建的管理员账户S-1-5-21-…-1001
是我随后立即为自己创建的普通账户S-1-5-21-…-1004
是我几周后为别人创建的帐户。
我从未删除过我机器上的帐户,所以我不确定,但是,根据 OP 的说法,删除用户时不会删除用户的回收站文件夹(主目录也不会删除)。在这种情况下,
dir/a/q
将报告...
为文件和文件夹的所有者。您可以
S-1-5-21-…-
通过运行注册表编辑器(以管理员身份)并查看来将字符串映射到用户名HKEY_USERS
。请尝试以下步骤:- 浏览并查看和
HKEY_USERS\S-1-5-21-…\Volatile Environment
的值,HOMEPATH
USERPROFILE
- 搜索名为的值
Username
, - 搜索包含或 的值。
/Users/UserB
\Users\UserB
用户定义的环境变量将在 中
HKEY_USERS\S-1-5-21-…\Environment
,但这可能没有太大帮助,因为指定路径名的变量很可能根据 来定义%USERPROFILE%
。
将S-1-5-21-…-
字符串映射到用户名的另一种方法是运行命令wmic useraccount get name,sid
— 您甚至不需要特权(提升)即可执行此操作。我得到了以下输出:Name SID Administrator S-1-5-21-524270083-2407456217-743395210-500 Guest S-1-5-21-524270083-2407456217-743395210-501 HomeGroupUser$ S-1-5-21-524270083-2407456217-743395210-1003 scott-admin S-1-5-21-524270083-2407456217-743395210-1000 scott-friend S-1-5-21-524270083-2407456217-743395210-1004 scott-user S-1-5-21-524270083-2407456217-743395210-1001
正如我所说,我从未在我的计算机上删除过任何帐户,所以我不知道这是否会列出已删除的帐户。
PS 在上述列表中,我更改了账户名称
scott-…
以保证匿名。实际上,这些账户是按字母顺序(按名称)列出的。如果你进入 Windows 资源管理器,取消选中“工具”→“文件夹选项...”→“查看”中的“隐藏受保护的操作系统文件”选项,然后转到
\$Recycle.Bin
,你会看到如下内容:请注意,显示为“回收站”的文件夹实际上是该
S-1-5-21-…-1001
文件夹;即我的回收站。(由于desktop.ini
文件的原因,它显示为这样。)此文件夹也显示为这回收站,在桌面上。
现在您知道如何查找其他用户的回收站,您可以简单地
cd
在提升的命令提示符下,将文件复制到其中。(您可能需要使用xcopy
,或者至少使用比更智能的命令copy
。)注意:文件将不会使用其原始名称,但将具有类似 的名称$A7Q42J9.DOC
。我不知道如何恢复原始名称,但您可以通过 Caveman 取证来完成:- 查看修改日期,
- 看看尺寸,
- 打开它。
- 获取所有权,然后在资源管理器中访问该文件夹。(我不知道这是否会显示原始文件名。)
当然,如果已删除用户的回收站文件夹不见了,请参阅如何恢复或“取消删除”我意外删除的文件? 以及它的所有相关内容。但现在你知道你在寻找什么了。