Ere*_*evi 13 security windows-7
在 Windows 7 中,有没有办法知道我不在时是否有人登录了我的帐户?
具体来说,是否有可能知道具有管理员权限的人是否以某种方式进入了我的帐户(即为了进入我的电子邮件等)?
Pat*_*ife 24
推荐方法已编辑(请在下面为 Susan Cannon 点赞):
按下Windows按钮 +R并输入eventvwr.msc。
在事件查看器中,展开 Windows 日志,然后选择系统。
在中间,您将看到一个包含日期和时间、来源、事件 ID 和任务类别的列表。任务类别几乎解释了事件、登录、特殊登录、注销和其他详细信息。
这些事件将被称为Winlogon,事件 ID 为7001。
事件详细信息将包含登录帐户的UserSid,您可以使用以下命令将其与从命令提示符获取的列表进行匹配:
wmic useraccount
希望这可以帮助!
要查看列表,请运行“PowerShell”,并将以下脚本粘贴到其窗口中:
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
你会有一堆系统登录;他们是正常的。
您将要查找的内容: 事件 ID 7001 - Winlogon。
在详细信息选项卡下,查找UserSid
登录指示将如下所示:(win 8.1) 这在 win 7 中可能会有所不同
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
然后通过右键单击开始按钮并选择它来打开命令提示符。
键入“wmic useraccount”并将 SID 与出现的长列表中的前面的用户名匹配。
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
我们从列表中看到Superuser是与 SID 匹配的帐户。