Windows 7では、不在時に誰かが私のアカウントにログインしたかどうかを知る方法はありますか?
具体的には、管理者権限を持つユーザーが何らかの方法で私のアカウントにアクセスしたかどうか(つまり、私の電子メールにアクセスするためなど)を知ることは可能ですか?
推奨される編集方法(下のスーザンキャノンに賛成投票してください):
押す Windows ボタン+ Reventvwr.msc
と入力します。
イベントビューアで、[Windowsログ]を展開し、[システム]を選択します。
中央には、日付と時刻、ソース、イベントID、タスクカテゴリのリストが表示されます。タスクカテゴリは、イベント、ログオン、特別なログオン、ログオフなどの詳細をかなり説明します。
イベントはWinlogon、イベントID 7001で呼び出されます。
イベントの詳細には、アカウントログオンのserSidが含まれます。これは、次を使用してコマンドプロンプトから取得したリストと照合できます。
wmic useraccount
お役に立てれば!
リストを表示するには、「PowerShell」を実行し、次のスクリプトをウィンドウに貼り付けます。
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
たくさんのシステムログインがあります。彼らは正常です。
探しているもの:イベントID 7001-Winlogon。
[詳細]タブで、serSidを探します。
ログインの表示は次のようになります。(win 8.1)これはwin 7ではおそらく異なるでしょう。
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
次に、スタートボタンを右クリックして選択することにより、コマンドプロンプトを開きます。
「wmic useraccount」と入力し、表示された長いリストでSIDを前のユーザー名と一致させます。
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
リストから、SuperuserがSIDと一致するアカウントであることがわかります。
パスファインダーの答え イベントログをチェックすると、誰かがコンピューターにログインしたかどうかがわかります。ただし、アカウントで別のコンピューターにログインしたかどうかはわかりません。他のマシンからのログインを確認するには、そのマシンまたはドメインコントローラを確認する必要があります。
メールに関しては、別の話です。 Exchange管理者として、私は組織内の誰でもメールを読むことができます。正直なところ、そのアクセスがどこに記録されているかわかりません。そうなると確信していますが、それはExchange管理者だけが利用できます。
企業ネットワークを使用している場合、これは機能しません。企業にはあらゆる種類の自動ログインがあります。イベント4648または4624のいずれかを確認したところ、オフィスに人がいないときでもログオンは正常にログに記録されています(PCにログインするために誰かがこっそり侵入しているわけでもありません)。それらの数千があります。 PCに一度ログインしただけで、4624の下に10のアクティビティソースがあります。10回ログインしていません。昨日4648で12回のログインがありましたが、その日は誰もPCに触れていませんでした。したがって、これは実際の人のログインの正確なリストではありません。
REALログイン情報が必要な場合は、Windowsログの下のSystemに移動し、イベント7001でフィルタリングします。これは成功です[〜#〜] winlogons [〜#〜]。これはユーザーログインに対応し、バックグラウンドでのシステムログインを除外します。これを使用して、PCへの実際のライブユーザーのログインの適切なリストを見つけました。
しかし残念ながら、それでもWHOにログインしたことはわかりません。毎日1マイルかかるため、弊社ではこれらの記録を保持していません。詳細でUserIDを確認しました。ログインしたばかりのUserIDは、表示されたすべてのログインで、他のすべてのUserIDと一致します。これは私のPCではないため、一部のログインは間違いなく私のPCではありません。だから私はその部分について知りません。
Windows 7 Ultimateはドメインに接続していますが、ローカルにログインしています。
セキュリティイベントログを確認したところ、「正当な」ログオンが見つかるのはID 4648のみであることがわかりました。これでうまくいきました。