Bagaimana cara mengidentifikasi nama profil pengguna (asli) dari nama akun pengguna yang diubah di Windows?

Di Windows, nama akun pengguna akan berbeda dari nama profil pengguna setelah diubah dari Control Panel.

Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?

Ada dua "nama" properti dari setiap akun, jadi izinkan saya mengklarifikasi hal-hal sedikit sehingga kami tidak bingung. Salah satunya adalah nama akun SAM (Manajer Akun Keamanan), yang muncul di output dari net user. Ini adalah nama akun sejauh komponen OS tingkat rendah yang bersangkutan. Yang lainnya adalah nama tampilan, yang muncul di halaman Akun Pengguna Panel Kontrol dan di menu Mulai. Pengguna dan Grup lokal snap-in untuk MMC ( lusrmgr.msc) menunjukkan keduanya: nama SAM di kolom Nama, dan nama tampilan di kolom Nama Lengkap. Nama SAM adalah apa yang digunakan untuk menghasilkan folder profil.

Sangat tidak mudah untuk mengubah nama SAM kecuali jika Anda menggunakan snap-in MMC ini. Hanya perubahan pada nama SAM yang menghasilkan peristiwa 4781. Saya curiga, mengingat bahwa Anda tidak melihat peristiwa 4781 di log Anda, bahwa hanya nama tampilan yang diubah. Ini hanya menghasilkan peristiwa 4738 ("akun pengguna diubah"). Peristiwa 4738 hanya mencantumkan nilai baru untuk nama tampilan, bukan nilai lama, dan saya menduga riwayat nama tampilan tidak disimpan di mana pun (harapan terbaik Anda adalah menggali log untuk lebih banyak contoh 4738).

Untungnya, menemukan jalur profil dari nama tampilan tidak terlalu sulit. Buka PowerShell dan ketik perintah ini:

gwmi win32_useraccount

Anda mendapatkan banyak entri yang terlihat seperti ini:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Temukan yang FullNamemenampilkan nama tampilan akun tersebut. Kemudian lihat SIDnilainya (Saya sudah reduksi mesin SID saya di sini). Buka Registry dan arahkan ke kunci yang disebutkan oleh harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Buka subkunci dengan nama yang sama dengan SID yang Anda temukan. The ProfileImagePathnilai memegang path ke folder profil mereka.

Bagaimana menemukan nama profil pengguna asli dari nama akun pengguna yang diubah?

Lihat di log Acara Sistem Keamanan Windows untuk EventID 4781: Nama akun diubah :

4781: Nama akun diubah

Pengguna yang diidentifikasi oleh Subjek: mengubah nama masuk normal atau nama masuk pra-Win2k dari pengguna yang diidentifikasi oleh Akun Target :. Event 4738 sebenarnya memberikan informasi yang lebih baik tentang perubahan ini.

Acara ini dicatat baik untuk akun SAM lokal dan akun domain.

Anda juga akan melihat ID peristiwa 4738 yang memberi tahu Anda tentang informasi yang sama.

Subyek:

Sesi pengguna dan masuk yang melakukan tindakan.

• ID Keamanan: SID akun.
• Nama Akun: Nama masuk akun.
• Domain Akun: Domain atau - dalam kasus akun lokal - nama komputer.
• ID masuk adalah nomor semi-unik (unik antar reboot) yang mengidentifikasi sesi masuk. ID masuk memungkinkan Anda untuk mengkorelasikan mundur ke peristiwa masuk (4624) serta dengan peristiwa lain yang dicatat selama sesi masuk yang sama.

Akun Target:

• ID Keamanan: SID akun
• Nama Akun: nama akun
• Domain Akun: domain akun
• Nama Akun Lama: nama masuk lama
• Nama Akun Baru: nama masuk baru

Sumber EventID 4781: Nama akun telah diubah

Jawaban ini didasarkan pada fakta bahwa mengganti nama akun pengguna tidak secara otomatis mengubah jalur profil.

Jika akun diganti nama tetapi jalur profil tidak diubah, nama jalur dapat ditemukan di registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList di bawah dalam item bernama ProfileImagePathyang nilainya akan C:\Users\old-user-name.

Klik untuk gambar yang lebih besar

Untuk mengonversi SID yang ditandai ke nama akun pengguna saat ini, masukkan cmd perintah:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name