当我删除我的帐户时，回收站中的文件会怎样？

Question

好吧，我不确定删除帐户后会发生什么，但如果您拥有管理员权限，这是一个很容易进行的实验。您如何进行该实验？您如何恢复文件？您如何以所有者以外的用户身份访问它们？

在命令提示符中，cd \$Recycle.Bin执行dir/a。你将得到如下结果：
```
Directory of C:\$Recycle.Bin

02/15/2015  09:13 AM    <DIR>          .
02/15/2015  09:13 AM    <DIR>          ..
08/13/2014  03:49 PM    <DIR>          S-1-5-18
02/15/2015  09:13 AM    <DIR>          S-1-5-20
05/03/2015  01:52 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1000
09/02/2015  10:56 AM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1001
02/07/2015  04:17 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1004
08/13/2014  12:46 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-500
               0 File(s)              0 bytes
               8 Dir(s)  123,456,789,042 bytes free
```
这些是所有用户的回收站。如果您使用提升的命令提示符， dir/a/q将显示每个文件夹的所有者。在我的系统上，
- S-1-5-18是系统
- S-1-5-20是网络服务
- S-1-5-21-…-500是内置管理员帐户
- S-1-5-21-…-1000是我初始化系统时创建的管理员账户
- S-1-5-21-…-1001是我随后立即为自己创建的普通账户
- S-1-5-21-…-1004是我几周后为别人创建的帐户。
我从未删除过我机器上的帐户，所以我不确定，但是，根据 OP 的说法，删除用户时不会删除用户的回收站文件夹（主目录也不会删除）。在这种情况下， dir/a/q将报告...为文件和文件夹的所有者。

您可以S-1-5-21-…-通过运行注册表编辑器（以管理员身份）并查看来将字符串映射到用户名HKEY_USERS。请尝试以下步骤：
- 浏览并查看和HKEY_USERS\S-1-5-21-…\Volatile Environment 的值，HOMEPATHUSERPROFILE
- 搜索名为的值Username，
- 搜索包含或的值。 /Users/UserB\Users\UserB
用户定义的环境变量将在中HKEY_USERS\S-1-5-21-…\Environment，但这可能没有太大帮助，因为指定路径名的变量很可能根据来定义%USERPROFILE%。
将S-1-5-21-…-字符串映射到用户名的另一种方法是运行命令wmic useraccount get name,sid— 您甚至不需要特权（提升）即可执行此操作。我得到了以下输出：
```
Name            SID
Administrator   S-1-5-21-524270083-2407456217-743395210-500
Guest           S-1-5-21-524270083-2407456217-743395210-501
HomeGroupUser$  S-1-5-21-524270083-2407456217-743395210-1003
scott-admin     S-1-5-21-524270083-2407456217-743395210-1000
scott-friend    S-1-5-21-524270083-2407456217-743395210-1004
scott-user      S-1-5-21-524270083-2407456217-743395210-1001
```
正如我所说，我从未在我的计算机上删除过任何帐户，所以我不知道这是否会列出已删除的帐户。

PS 在上述列表中，我更改了账户名称scott-…以保证匿名。实际上，这些账户是按字母顺序（按名称）列出的。
如果你进入 Windows 资源管理器，取消选中“工具”→“文件夹选项...”→“查看”中的“隐藏受保护的操作系统文件”选项，然后转到\$Recycle.Bin，你会看到如下内容：

$\$回收站$

请注意，显示为“回收站”的文件夹实际上是该S-1-5-21-…-1001文件夹；即我的回收站。（由于desktop.ini文件的原因，它显示为这样。）此文件夹也显示为这回收站，在桌面上。

现在您知道如何查找其他用户的回收站，您可以简单地

cd在提升的命令提示符下，将文件复制到其中。（您可能需要使用xcopy，或者至少使用比更智能的命令copy。）注意：文件将不会使用其原始名称，但将具有类似的名称$A7Q42J9.DOC。我不知道如何恢复原始名称，但您可以通过 Caveman 取证来完成：
- 查看修改日期，
- 看看尺寸，
- 打开它。
获取所有权，然后在资源管理器中访问该文件夹。（我不知道这是否会显示原始文件名。）

当然，如果已删除用户的回收站文件夹不见了，请参阅如何恢复或“取消删除”我意外删除的文件？以及它的所有相关内容。但现在你知道你在寻找什么了。

Answer 1

好吧，我不确定删除帐户后会发生什么，但如果您拥有管理员权限，这是一个很容易进行的实验。您如何进行该实验？您如何恢复文件？您如何以所有者以外的用户身份访问它们？

在命令提示符中，cd \$Recycle.Bin执行dir/a。你将得到如下结果：
```
Directory of C:\$Recycle.Bin

02/15/2015  09:13 AM    <DIR>          .
02/15/2015  09:13 AM    <DIR>          ..
08/13/2014  03:49 PM    <DIR>          S-1-5-18
02/15/2015  09:13 AM    <DIR>          S-1-5-20
05/03/2015  01:52 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1000
09/02/2015  10:56 AM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1001
02/07/2015  04:17 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1004
08/13/2014  12:46 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-500
               0 File(s)              0 bytes
               8 Dir(s)  123,456,789,042 bytes free
```
这些是所有用户的回收站。如果您使用提升的命令提示符， dir/a/q将显示每个文件夹的所有者。在我的系统上，
- S-1-5-18是系统
- S-1-5-20是网络服务
- S-1-5-21-…-500是内置管理员帐户
- S-1-5-21-…-1000是我初始化系统时创建的管理员账户
- S-1-5-21-…-1001是我随后立即为自己创建的普通账户
- S-1-5-21-…-1004是我几周后为别人创建的帐户。
我从未删除过我机器上的帐户，所以我不确定，但是，根据 OP 的说法，删除用户时不会删除用户的回收站文件夹（主目录也不会删除）。在这种情况下， dir/a/q将报告...为文件和文件夹的所有者。

您可以S-1-5-21-…-通过运行注册表编辑器（以管理员身份）并查看来将字符串映射到用户名HKEY_USERS。请尝试以下步骤：
- 浏览并查看和HKEY_USERS\S-1-5-21-…\Volatile Environment 的值，HOMEPATHUSERPROFILE
- 搜索名为的值Username，
- 搜索包含或的值。 /Users/UserB\Users\UserB
用户定义的环境变量将在中HKEY_USERS\S-1-5-21-…\Environment，但这可能没有太大帮助，因为指定路径名的变量很可能根据来定义%USERPROFILE%。
将S-1-5-21-…-字符串映射到用户名的另一种方法是运行命令wmic useraccount get name,sid— 您甚至不需要特权（提升）即可执行此操作。我得到了以下输出：
```
Name            SID
Administrator   S-1-5-21-524270083-2407456217-743395210-500
Guest           S-1-5-21-524270083-2407456217-743395210-501
HomeGroupUser$  S-1-5-21-524270083-2407456217-743395210-1003
scott-admin     S-1-5-21-524270083-2407456217-743395210-1000
scott-friend    S-1-5-21-524270083-2407456217-743395210-1004
scott-user      S-1-5-21-524270083-2407456217-743395210-1001
```
正如我所说，我从未在我的计算机上删除过任何帐户，所以我不知道这是否会列出已删除的帐户。

PS 在上述列表中，我更改了账户名称scott-…以保证匿名。实际上，这些账户是按字母顺序（按名称）列出的。
如果你进入 Windows 资源管理器，取消选中“工具”→“文件夹选项...”→“查看”中的“隐藏受保护的操作系统文件”选项，然后转到\$Recycle.Bin，你会看到如下内容：

$\$回收站$

请注意，显示为“回收站”的文件夹实际上是该S-1-5-21-…-1001文件夹；即我的回收站。（由于desktop.ini文件的原因，它显示为这样。）此文件夹也显示为这回收站，在桌面上。

现在您知道如何查找其他用户的回收站，您可以简单地

cd在提升的命令提示符下，将文件复制到其中。（您可能需要使用xcopy，或者至少使用比更智能的命令copy。）注意：文件将不会使用其原始名称，但将具有类似的名称$A7Q42J9.DOC。我不知道如何恢复原始名称，但您可以通过 Caveman 取证来完成：
- 查看修改日期，
- 看看尺寸，
- 打开它。
获取所有权，然后在资源管理器中访问该文件夹。（我不知道这是否会显示原始文件名。）

当然，如果已删除用户的回收站文件夹不见了，请参阅如何恢复或“取消删除”我意外删除的文件？以及它的所有相关内容。但现在你知道你在寻找什么了。

答案1

相关内容