当我删除我的帐户时,回收站中的文件会怎样?

当我删除我的帐户时,回收站中的文件会怎样?

我的 Windows 7 计算机上有两个帐户,UserA 和 UserB。我在 UserB 的回收站中有文件,然后我以 UserA 身份登录时删除了该帐户。

用户 B 的回收站中的文件怎么了?我该如何恢复它们?

答案1

好吧,我不确定删除帐户后会发生什么,但如果您拥有管理员权限,这是一个很容易进行的实验。您如何进行该实验?您如何恢复文件?您如何以所有者以外的用户身份访问它们?

  • 在命令提示符中,cd \$Recycle.Bin执行dir/a。你将得到如下结果:

    Directory of C:\$Recycle.Bin
    
    02/15/2015  09:13 AM    <DIR>          .
    02/15/2015  09:13 AM    <DIR>          ..
    08/13/2014  03:49 PM    <DIR>          S-1-5-18
    02/15/2015  09:13 AM    <DIR>          S-1-5-20
    05/03/2015  01:52 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1000
    09/02/2015  10:56 AM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1001
    02/07/2015  04:17 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-1004
    08/13/2014  12:46 PM    <DIR>          S-1-5-21-524270083-2407456217-743395210-500
                   0 File(s)              0 bytes
                   8 Dir(s)  123,456,789,042 bytes free
    

    这些是所有用户的回收站。如果您使用提升的命令提示符, dir/a/q将显示每个文件夹的所有者。在我的系统上,

    • S-1-5-18是系统
    • S-1-5-20是网络服务
    • S-1-5-21-…-500是内置管理员帐户
    • S-1-5-21-…-1000是我初始化系统时创建的管理员账户
    • S-1-5-21-…-1001是我随后立即为自己创建的普通账户
    • S-1-5-21-…-1004是我几周后为别人创建的帐户。

    我从未删除过我机器上的帐户,所以我不确定,但是,根据 OP 的说法,删除用户时不会删除用户的回收站文件夹(主目录也不会删除)。在这种情况下, dir/a/q将报告...为文件和文件夹的所有者。

    您可以S-1-5-21-…-通过运行注册表编辑器(以管理员身份)并查看来将字符串映射到用户名HKEY_USERS。请尝试以下步骤:

    • 浏览并查看和HKEY_USERS\S-1-5-21-…\Volatile Environment 的值,HOMEPATHUSERPROFILE
    • 搜索名为的值Username
    • 搜索包含或 的值。 /Users/UserB\Users\UserB
       

    用户定义的环境变量将在 中HKEY_USERS\S-1-5-21-…\Environment,但这可能没有太大帮助,因为指定路径名的变量很可能根据 来定义%USERPROFILE%


    S-1-5-21-…-字符串映射到用户名的另一种方法是运行命令wmic useraccount get name,sid— 您甚至不需要特权(提升)即可执行此操作。我得到了以下输出:

    Name            SID
    Administrator   S-1-5-21-524270083-2407456217-743395210-500
    Guest           S-1-5-21-524270083-2407456217-743395210-501
    HomeGroupUser$  S-1-5-21-524270083-2407456217-743395210-1003
    scott-admin     S-1-5-21-524270083-2407456217-743395210-1000
    scott-friend    S-1-5-21-524270083-2407456217-743395210-1004
    scott-user      S-1-5-21-524270083-2407456217-743395210-1001
    

    正如我所说,我从未在我的计算机上删除过任何帐户,所以我不知道这是否会列出已删除的帐户。

    PS 在上述列表中,我更改了账户名称scott-…以保证匿名。实际上,这些账户是按字母顺序(按名称)列出的。

  • 如果你进入 Windows 资源管理器,取消选中“工具”→“文件夹选项...”→“查看”中的“隐藏受保护的操作系统文件”选项,然后转到\$Recycle.Bin,你会看到如下内容:

         \$回收站

    请注意,显示为“回收站”的文件夹实际上是该S-1-5-21-…-1001文件夹;即我的回收站。(由于desktop.ini文件的原因,它显示为这样。)此文件夹也显示为回收站,在桌面上。

现在您知道如何查找其他用户的回收站,您可以简单地

  • cd在提升的命令提示符下,将文件复制到其中。(您可能需要使用xcopy,或者至少使用比更智能的命令copy。)注意:文件将不会使用其原始名称,但将具有类似 的名称$A7Q42J9.DOC。我不知道如何恢复原始名称,但您可以通过 Caveman 取证来完成:
    • 查看修改日期,
    • 看看尺寸,
    • 打开它。
  • 获取所有权,然后在资源管理器中访问该文件夹。(我不知道这是否会显示原始文件名。)

当然,如果已删除用户的回收站文件夹不见了,请参阅如何恢复或“取消删除”我意外删除的文件? 以及它的所有相关内容。但现在你知道你在寻找什么了。

相关内容