Windows 7에서 결석했을 때 누군가 내 계정에 로그인했는지 알 수있는 방법이 있습니까?
구체적으로, 관리자 권한을 가진 사람이 어떻게 든 내 계정에 들어 갔는지 (예 : 이메일 등으로) 알 수 있습니까?
답변:
권장 방법 EDITED (아래에서 Susan Cannon을 아래로 찬성하십시오) :
을 눌러 Windows버튼 + R입력 eventvwr.msc.
이벤트 뷰어에서 Windows 로그를 펼치고 시스템을 선택하십시오.
가운데에는 날짜 및 시간, 소스, 이벤트 ID 및 작업 범주가있는 목록이 표시됩니다. 작업 범주는 이벤트, 로그온, 특수 로그온, 로그 오프 및 기타 세부 사항을 거의 설명합니다.
이벤트는 이벤트 ID 7001 과 함께 Winlogon 이라고 합니다.
이벤트 세부 정보에는 사용자 로그온 계정 로그온 이 포함되며 다음 을 사용하여 명령 프롬프트에서 얻은 목록과 일치시킬 수 있습니다.
wmic useraccount
도움이 되었기를 바랍니다!
목록을 보려면 "PowerShell"을 실행하고 다음 스크립트를 해당 창에 붙여 넣으십시오.
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
많은 시스템 로그인이있을 것입니다. 그들은 정상입니다.
원하는 것 : 이벤트 ID 7001-Winlogon.
세부 사항 탭에서 UserSid 를 찾으십시오.
로그인 표시는 다음과 같습니다 : (win 8.1) 이것은 아마도 win 7에서 다를 것입니다
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
그런 다음 시작 버튼을 마우스 오른쪽 버튼으로 클릭하고 선택하여 명령 프롬프트를 엽니 다.
"wmic useraccount"를 입력하고 나타나는 긴 목록에서 이전 사용자 이름과 SID를 일치시킵니다.
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
목록에서 수퍼 유저 가 SID와 일치하는 계정 임을 알 수 있습니다 .
wmic useraccount get name,sid훨씬 관리하기 쉬운 출력을 생성합니다.
이벤트 로그 확인에 대한 Pathfinder의 답변 은 누군가가 컴퓨터에 로그인했는지 알려줍니다. 그러나 그들이 귀하의 계정으로 다른 컴퓨터에 로그인했는지는 알려주지 않습니다. 다른 컴퓨터의 로그인을 보려면 해당 컴퓨터 또는 도메인 컨트롤러를 확인해야합니다.
이메일은 또 다른 이야기입니다. Exchange 관리자는 조직 내 모든 사람의 전자 메일을 읽을 수 있습니다 . 솔직히, 그 액세스가 어디서나 기록되는지 모르겠습니다. 그럴 것이라고 확신하지만 Exchange 관리자 만 사용할 수 있습니다.
회사 네트워크에있는 경우 작동하지 않습니다. 회사에는 모든 종류의 자동 로그인이 있습니다. 이벤트 4648 또는 4624를 확인한 결과, 사람들이 사무실에 있지 않아도 (그리고 아무도 PC에 로그인하기 위해 몰래 로그인하고 있지 않은 경우에도) 로그온이 성공적으로 기록됩니다. 수천이 있습니다. 방금 PC에 한 번만 로그인했으며 4624 아래에 10 개의 활동 소스가 있습니다. 10 번 로그인하지 않았습니다. 어제 4648 건에서 12 번의 로그인이 있었지만 그날 아무도 PC를 건드리지 않았습니다. 실제 사람 로그인의 정확한 목록이 아닙니다.
REAL 로그인 정보를 원하면 Windows 로그에서 시스템 으로 이동하여 이벤트 7001에서 필터링하십시오 . 이것은 성공적인 WINLOGONS 입니다. 이것은 사용자 로그인에 해당하며 시스템 뒤의 시스템 로그인은 제외합니다. 이를 사용하여 실제 라이브 사용자가 PC에 로그인하는 올바른 목록을 찾았습니다.
그러나 안타깝게도 여전히 WHO에 로그인했다고 알려주지 않습니다. 우리 회사는 매일 1 마일이 걸리므로 이러한 기록을 유지하지 않습니다. 세부 정보에서 UserID를보고 로그인 한 UserID가 표시된 모든 로그인에서 다른 모든 UserID와 일치합니다. 그리고 이것은 내 PC가 아니므로 일부 로그인은 확실히 내 것이 아닙니다. 그래서 나는 그 부분에 대해 모른다.
Windows 7 Ultimate가 도메인에 연결되었지만 로컬로 로그인했습니다.
방금 보안 이벤트 로그를 살펴본 결과 "합법적 인"로그온을 찾을 수있는 유일한 시간은 ID 4648 임을 알았습니다 . 이것은 나를 위해 일했습니다.