Di Windows, nama akun pengguna akan berbeda dari nama profil pengguna setelah diubah dari Control Panel.
Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?
Di Windows, nama akun pengguna akan berbeda dari nama profil pengguna setelah diubah dari Control Panel.
Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?
Jawaban:
Ada dua "nama" properti dari setiap akun, jadi izinkan saya mengklarifikasi hal-hal sedikit sehingga kami tidak bingung. Salah satunya adalah nama akun SAM (Manajer Akun Keamanan), yang muncul di output dari net user
. Ini adalah nama akun sejauh komponen OS tingkat rendah yang bersangkutan. Yang lainnya adalah nama tampilan, yang muncul di halaman Akun Pengguna Panel Kontrol dan di menu Mulai. Pengguna dan Grup lokal snap-in untuk MMC ( lusrmgr.msc
) menunjukkan keduanya: nama SAM di kolom Nama, dan nama tampilan di kolom Nama Lengkap. Nama SAM adalah apa yang digunakan untuk menghasilkan folder profil.
Sangat tidak mudah untuk mengubah nama SAM kecuali jika Anda menggunakan snap-in MMC ini. Hanya perubahan pada nama SAM yang menghasilkan peristiwa 4781. Saya curiga, mengingat bahwa Anda tidak melihat peristiwa 4781 di log Anda, bahwa hanya nama tampilan yang diubah. Ini hanya menghasilkan peristiwa 4738 ("akun pengguna diubah"). Peristiwa 4738 hanya mencantumkan nilai baru untuk nama tampilan, bukan nilai lama, dan saya menduga riwayat nama tampilan tidak disimpan di mana pun (harapan terbaik Anda adalah menggali log untuk lebih banyak contoh 4738).
Untungnya, menemukan jalur profil dari nama tampilan tidak terlalu sulit. Buka PowerShell dan ketik perintah ini:
gwmi win32_useraccount
Anda mendapatkan banyak entri yang terlihat seperti ini:
AccountType : 512
Caption : <redacted>\tester
Domain : <redacted>
SID : S-1-5-21-<redacted>-1018
FullName : Test Account
Name : tester
Temukan yang FullName
menampilkan nama tampilan akun tersebut. Kemudian lihat SID
nilainya (Saya sudah reduksi mesin SID saya di sini). Buka Registry dan arahkan ke kunci yang disebutkan oleh harrymc:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Buka subkunci dengan nama yang sama dengan SID yang Anda temukan. The ProfileImagePath
nilai memegang path ke folder profil mereka.
Get-LocalUser
cmdlet tidak ada di versi Windows 7 PowerShell. (Saya menguji pada Windows 10.) Saya mengedit jawaban saya untuk bekerja pada Windows 7 juga.
Lihat di log Acara Sistem Keamanan Windows untuk EventID 4781: Nama akun diubah :
4781: Nama akun diubah
Pengguna yang diidentifikasi oleh Subjek: mengubah nama masuk normal atau nama masuk pra-Win2k dari pengguna yang diidentifikasi oleh Akun Target :. Event 4738 sebenarnya memberikan informasi yang lebih baik tentang perubahan ini.
Acara ini dicatat baik untuk akun SAM lokal dan akun domain.
Anda juga akan melihat ID peristiwa 4738 yang memberi tahu Anda tentang informasi yang sama.
Subyek:
Sesi pengguna dan masuk yang melakukan tindakan.
- ID Keamanan: SID akun.
- Nama Akun: Nama masuk akun.
- Domain Akun: Domain atau - dalam kasus akun lokal - nama komputer.
- ID masuk adalah nomor semi-unik (unik antar reboot) yang mengidentifikasi sesi masuk. ID masuk memungkinkan Anda untuk mengkorelasikan mundur ke peristiwa masuk (4624) serta dengan peristiwa lain yang dicatat selama sesi masuk yang sama.
Akun Target:
- ID Keamanan: SID akun
- Nama Akun: nama akun
- Domain Akun: domain akun
- Nama Akun Lama: nama masuk lama
- Nama Akun Baru: nama masuk baru
Jawaban ini didasarkan pada fakta bahwa mengganti nama akun pengguna tidak secara otomatis mengubah jalur profil.
Jika akun diganti nama tetapi jalur profil tidak diubah, nama jalur dapat ditemukan di registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
di bawah
dalam item bernama ProfileImagePath
yang nilainya akan
C:\Users\old-user-name
.
Klik untuk gambar yang lebih besar
Untuk mengonversi SID yang ditandai ke nama akun pengguna saat ini, masukkan cmd perintah:
wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
net user
mencantumkan nama pengguna lama juga? Oke, jika ada banyak nama pengguna, masih sulit untuk dipecahkan, tetapi pada komputer biasanya tidak.
wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
.
Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....