我们正在尝试确定 20-30 台计算机中的哪一台是前员工使用的。我们知道这台计算机曾经有两个用户帐户,但其中一个在大约 6 个月前被删除了。这台计算机是去年唯一一台删除了帐户的计算机。其他计算机中很少有删除帐户的计算机,因此如果找到所有删除的用户帐户,而不仅仅是今年删除的帐户,那就不是什么危机了。
两个用户帐户都具有管理员权限。不存在那么久以前的系统还原点。
这样做的目的是使用第三方工具从该帐户恢复一些丢失的数据。我们不想在所有计算机上尝试此操作,因为这可能很耗时,而且可能是一个有风险的过程。我们知道该帐户的密码。
有没有一种方法可以不安装任何软件就确定用户帐户是否已被删除(如果可能的话,还可以确定该帐户的名称)?
编辑:
我想要恢复 excel 文件、小型 .txt 文件(几 kB)、特定模拟工具使用的文件等。存储在My Documents
和/或 文件夹中的任何内容C:\SimulationTool\Folder\Data
。
我尝试搜索服务器(其中项目特定的文件应该系统显示“存储”页面,但未找到该用户拥有的文件。这很奇怪,但这是可能的,因为该员工只受雇了很短的时间。
答案1
确定帐户是否在很久以前被删除是十分困难的。根据计算机的使用情况,任何可恢复的文件很可能已被覆盖。恢复文件的最佳方法是在计算机上安装文件恢复软件其他计算机并用它来检查相关计算机的驱动器。
但是,如果您想尝试手动查找,您可以尝试以下操作:
首先,从查看所有事件查看器日志开始。仔细检查每个条目,甚至是新条目。也许日志会列出帐户名称。我会密切关注错误日志。也许这个帐户用于设置服务。如果该服务不再运行,则希望列出与其关联的帐户名称或 SID。
说到 SID,您可以列出系统上所有文件的所有者/创建者。虽然不会显示帐户名称,但与该帐户关联的所有文件都会保留一个 SID。
如果您想要进一步了解,请查看每个 .log 和 .txt 文件以查找有关帐户存在的记录。