मुझे कैसे पता चलेगा कि किसी ने मेरे खाते में विंडोज 7 में लॉग इन किया है?

13

विंडोज 7 में, क्या यह जानने का कोई तरीका है कि क्या कोई अनुपस्थित होने पर मेरे खाते में लॉग इन किया है?

विशेष रूप से, क्या यह जानना संभव है कि क्या प्रशासक विशेषाधिकारों वाला व्यक्ति किसी तरह मेरे खाते में प्रवेश कर गया (यानी मेरे ईमेल आदि में जाने के लिए)?

windows-7  security 
एरल सेगल-हलेवी
स्रोत
2
मुझे लॉगिन करने की आवश्यकता क्यों होगी? मैं बस आपकी हार्ड ड्राइव को बाहर निकालूंगा, इसे खदान में प्लग कर दूंगा, और अपने ईमेल / फाइलों / सुपर सीक्रेट सामान को कभी भी अपने पीसी में लॉग इन किए बिना कॉपी करूंगा।
अनुदान

जवाबों:

24

अनुशंसित विधि EDITED (कृपया नीचे सुसान तोप नीचे अपवोट करें):

  1. Windowsबटन + Rऔर दबाएं eventvwr.msc

  2. इवेंट व्यूअर में, Windows लॉग्स का विस्तार करें और सिस्टम चुनें।

  3. मध्य में आपको दिनांक और समय, स्रोत, इवेंट ID और कार्य श्रेणी के साथ एक सूची दिखाई देगी। टास्क कैटेगरी ने इवेंट, लोगन, स्पेशल लोगन, लॉगऑफ और अन्य विवरणों के बारे में बहुत कुछ बताया।

इवेंट ID 7001 के साथ इवेंट को Winlogon कहा जाएगा ।

घटना विवरण शामिल होंगे UserSid पर खाता लॉगिंग की है, जो आप कमांड प्रॉम्प्ट का उपयोग कर से प्राप्त एक सूची के साथ मिलान कर सकते हैं:

wmic useraccount

उम्मीद है की यह मदद करेगा!

सूची देखने के लिए, "PowerShell" चलाएं, और निम्न स्क्रिप्ट को इसकी विंडो में पेस्ट करें:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

आपके पास सिस्टम लॉगिन का एक गुच्छा होगा; वे सामान्य हैं।

आप क्या देख रहे होंगे: इवेंट ID 7001 - विंलगन।

विवरण टैब के तहत, उपयोगकर्ता के लिए देखें

एक लॉगिन का संकेत इस तरह दिखाई देगा: (8.1 जीतना) यह शायद जीत 7 में अलग होगा

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

फिर स्टार्ट बटन पर राइट क्लिक करके और उसे सेलेक्ट करके कमांड प्रॉम्प्ट खोलें।

"Wmic useraccount" में टाइप करें और आने वाली लंबी सूची में पूर्ववर्ती उपयोगकर्ता नाम के साथ SID का मिलान करें।

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

हम इस सूची से देखते हैं कि सुपरयुसर एसआईडी से मेल खाता खाता है।

सलाई
स्रोत
धन्यवाद! मैं वास्तव में प्रत्येक सफल लॉगऑन (स्वयं के द्वारा) के लिए 4 घटनाओं को देखता हूं: "लोगन - 4624", "स्पेशल लोगन - 4672", "लोगन - 4648", "लोगन - 4624", सभी एक ही समय में।
इरेल सहगल-हलेवी
नोट:  wmic useraccount get name,sidएक बहुत अधिक प्रबंधनीय उत्पादन का उत्पादन करता है।
स्कॉट
5

इवेंट लॉग की जाँच करने के लिए पाथफाइंडर का उत्तर आपको यह बताएगा कि क्या कोई आपके कंप्यूटर में लॉग इन है। हालाँकि, यह नहीं बताएगा कि वे आपके खाते के साथ किसी अन्य कंप्यूटर में लॉग इन करते हैं। आपको अन्य मशीनों से लॉगिन देखने के लिए उस मशीन या डोमेन नियंत्रक की जांच करनी होगी।

ईमेल के लिए, यह एक और कहानी है। एक एक्सचेंज व्यवस्थापक के रूप में, मैं हमारे संगठन में किसी के भी ईमेल पढ़ सकता हूं । ईमानदारी से कहूं तो मुझे नहीं पता कि वह एक्सेस कहीं लॉग इन है या नहीं। मुझे यकीन है कि यह होगा, लेकिन यह केवल विनिमय प्रशासकों के लिए उपलब्ध होगा।

Keltari
स्रोत
@Pang: लिंक जोड़ने और संकुचन के विराम को ठीक करने के लिए धन्यवाद, लेकिन "मेल" और "ईमेल", जैसे "हवा", "पानी", "रेत" और सैकड़ों अन्य, वैध सामूहिक (गैर /) हैं संज्ञाएं गिनो। केल्टरी का एकल (सामूहिक) "ईमेल" का उपयोग ठीक था, जैसा कि "जेंटलमैन एक दूसरे के मेल को नहीं पढ़ते हैं।" और आपको मेल मिल गया
स्कॉट
@ हाँ, मुझे लगता है कि तुम सही हो । उस पीठ को संपादित करने के लिए स्वतंत्र महसूस करें। धन्यवाद।
पैंग
2

यदि आप एक कॉर्पोरेट नेटवर्क पर हैं, तो यह काम नहीं करेगा। निगमों में सभी प्रकार के स्वचालित लॉगिन हैं। मैंने 4648 या 4624 इवेंट में देखा, और जब लोग कार्यालय में नहीं होते हैं, तब भी लॉगऑन सफलतापूर्वक लॉग इन किया जाता है (और नहीं, कोई भी पीसी में लॉग इन करने के लिए चुपके नहीं है)। उनमें से हजारों हैं। मैंने केवल एक बार पीसी में लॉग इन किया, और 4624 के तहत 10 गतिविधि स्रोत हैं। मैंने 10 बार लॉग इन नहीं किया। कल 4648 के तहत 12 लॉगिन थे, लेकिन उस दिन किसी ने भी पीसी को नहीं छुआ। तो यह वास्तविक व्यक्ति लॉगिन की एक सटीक सूची नहीं है।

यदि आप वास्तविक लॉगिन जानकारी चाहते हैं, तो विंडोज लॉग्स के तहत सिस्टम पर जाएं और इवेंट 7001 पर फ़िल्टर करें । यह सफल जीत है । यह उपयोगकर्ता लॉगिन से मेल खाता है, और पर्दे के पीछे सिस्टम लॉगिन को बाहर करता है। इसका उपयोग करते हुए, मुझे पीसी पर वास्तविक लाइव लोगों के उपयोगकर्ता लॉगिन की उचित सूची मिली।

लेकिन दुर्भाग्य से यह अभी भी मुझे नहीं बताता है जो लॉग इन किया है। हमारी कंपनी उन रिकॉर्डों को नहीं रखती है क्योंकि यह हर दिन एक मील लंबा होगा। मैं विवरण में UserID को देखता हूं, और मेरे लिए UserID अभी लॉगिंग में दिखाया गया है, हर दिखाए गए लॉग इन के तहत हर दूसरे यूजरआईडी से मेल खाता है। और यह मेरा पीसी नहीं है, इसलिए कुछ लॉगिन निश्चित रूप से मेरे नहीं हैं। इसलिए मैं उस हिस्से के बारे में नहीं जानता।

सुसान तोप
स्रोत
0

विंडोज 7 अल्टीमेट एक डोमेन से जुड़ा है, लेकिन स्थानीय रूप से लॉगिंग है।

मैं सिर्फ सिक्योरिटी इवेंट लॉग के माध्यम से गया और महसूस किया कि केवल "वैध" लॉगऑन आईडी 4648 के लिए मुझे मिल सकता है । इसने मेरे लिए काम किया।

user3590052
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.