Windows 7で誰かが自分のアカウントにログインしたかどうかを知るにはどうすればよいですか?

13

Windows 7では、不在時に誰かが私のアカウントにログインしたかどうかを知る方法はありますか?

具体的には、管理者権限を持つ人が何らかの方法でアカウントに入力したかどうかを知ることはできますか(つまり、電子メールなどにアクセスするために)。

windows-7  security 
エレル・セガル・ハレビ
ソース
2
なぜログインする必要があるのですか?私はあなたのハードドライブを引き出して、私のものに差し込んで、あなたのPCにログインすることなくあなたの電子メール/ファイル/極秘のものをコピーするだけです。
付与

回答:

24

推奨される方法の編集(下のスーザンキャノンに賛成票を投じてください):

  1. 押しWindowsボタン+ Rとタイプeventvwr.msc

  2. イベントビューアーで、[Windowsログ]を展開し、[システム]を選択します。

  3. 中央には、日付と時刻、ソース、イベントID、タスクカテゴリのリストが表示されます。タスクカテゴリは、イベント、ログオン、特別なログオン、ログオフ、その他の詳細をほとんど説明しています。

イベントは、イベントID 7001のWinlogonと呼ばれます。

イベントの詳細には、ログオンしているアカウントのUserSidが含まれます。これは、を使用してコマンドプロンプトから取得したリストと照合できます。

wmic useraccount

お役に立てれば!

リストを表示するには、「PowerShell」を実行し、次のスクリプトをウィンドウに貼り付けます。

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

多数のシステムログインがあります。彼らは正常です。

探しているもの: イベントID 7001-Winlogon。

[詳細]タブで、UserSidを探します

ログインの表示は次のようになります:(win 8.1)これはおそらくwin 7では異なります。

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

次に、スタートボタンを右クリックして選択し、コマンドプロンプトを開きます。

「wmic useraccount」と入力し、SIDが表示される長いリスト内の前のユーザー名と一致します。

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

リストから、スーパーユーザーがSIDに一致するアカウントであることがわかります。

パスファインダー
ソース
ありがとう!実際に、成功したログオンごとに4つのイベントが表示されます(自分で):「ログオン-4624」、「特別なログオン-4672」、「ログオン-4648」、「ログオン-4624」、すべて同時に。
エレルシーガルハレビ14
注:  wmic useraccount get name,sidはるかに管理しやすい出力を生成します。
スコット
5

イベントログをチェックするPathfinderの答えは、誰かがあなたのコンピューターにログインしたかどうかを知らせます。ただし、アカウントで別のコンピューターにログインしたかどうかはわかりません。他のマシンからのログインを確認するには、そのマシンまたはドメインコントローラーを確認する必要があります。

メールについては、別の話です。Exchange管理者として、私は組織内の誰のメール読むことができます。正直なところ、そのアクセスがどこにも記録されているかどうかはわかりません。確かにそうなりますが、それはExchange管理者のみが利用できます。

ケルタリ
ソース
@Pang:リンクを追加して収縮の句読点を修正してくれてありがとう名詞を数えます。「紳士はお互いのメールを読まない」You've Got Mailのように、Keltariの単数(集合)「メール」の使用は問題ありませんでした
スコット
@スコットうん、あなたは正しいと思います。それを自由に編集してください。ありがとう。
パン
2

企業ネットワークを使用している場合、これは機能しません。企業にはあらゆる種類の自動ログインがあります。イベント4648または4624のいずれかを調べましたが、オフィスにいなくてもログオンは正常に記録されます(そして、だれもPCへのログインを忍び込みません)。それらは何千もあります。PCに1回ログインしただけで、4624の下に10個のアクティビティソースがあります。10回ログインしませんでした。昨日4648で12回ログインしましたが、その日は誰もPCに触れませんでした。したがって、これは実際の人のログインの正確なリストではありません。

実際のログイン情報が必要な場合は、Windowsログの下のシステムに移動し、イベント7001でフィルタリングします。これは成功したWINLOGONSです。これはユーザーログインに対応し、バックグラウンドでのシステムログインを除外します。これを使用して、実際のライブユーザーのPCへのログインの適切なリストを見つけました。

しかし、残念ながら、WHOがログインしていることはまだわかりません。当社は、毎日1マイル長くなるため、これらの記録を保持していません。詳細でUserIDを確認すると、ログインしているユーザーIDは、表示されているすべてのログインで他のすべてのUserIDと一致します。そして、これは私のPCではないので、ログインのいくつかは間違いなく私のものではありません。だから私はその部分については知りません。

スーザンキャノン
ソース
0

Windows 7 Ultimateはドメインに接続されていますが、ローカルにログインしています。

セキュリティイベントログを調べたところ、「正当な」ログオンを見つけることができるのはID 4648だけであることがわかりました。これは私のために働いた。

user3590052
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.