Como identificar o nome do perfil de usuário (original) de um nome de conta de usuário alterado no Windows?

Existem duas propriedades de "nome" de cada conta, então deixe-me esclarecer um pouco para que não fiquemos confusos. Uma é o nome da conta do SAM (Security Account Manager), que aparece na saída de net user . Este é o nome da conta no que diz respeito aos componentes do sistema operacional de baixo nível. O outro é o nome de exibição, que aparece na página Contas do Usuário do Painel de Controle e no menu Iniciar. O snap-in Usuários e Grupos Locais do MMC ( lusrmgr.msc ) mostra os dois: o nome do SAM na coluna Nome e o nome de exibição na coluna Nome Completo. O nome do SAM é usado para produzir a pasta de perfil.

Não é muito fácil alterar o nome do SAM, a menos que você use esse snap-in do MMC. Apenas as alterações no nome SAM produzem o evento 4781. Suspeito que, como você não vê um evento 4781 em seu log, apenas o nome de exibição foi alterado. Isso produz apenas o evento 4738 ("uma conta de usuário foi alterada"). O evento 4738 lista apenas o novo valor para o nome de exibição, não o valor antigo, e suspeito que o histórico de nomes de exibição não seja mantido em lugar algum (sua melhor esperança seria vasculhar os logs para obter mais instâncias de 4738). p>

Felizmente, encontrar o caminho do perfil a partir de um nome de exibição não é muito difícil. Abra o PowerShell e digite este comando:

gwmi win32_useraccount

Você recebe um monte de entradas que se parecem com isso:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Encontre aquele com o FullName mostrando o nome de exibição da conta. Então olhe para o valor SID (eu editei o meu SID aqui). Abra o Registro e navegue até a chave mencionada por harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Abra a subchave com o mesmo nome do SID que você encontrou. O valor ProfileImagePath contém o caminho para sua pasta de perfil.

Como encontrar o nome do perfil de usuário original de um nome de conta de usuário alterado?

Procure no log de eventos do sistema de segurança do Windows por ID do evento 4781: o nome de uma conta foi alterado :

4781: The name of an account was changed

The user identified by Subject: changed either the normal logon name or the pre-Win2k logon name of the user identified by Target Account:. Event 4738 actually provides better information on this change.

This event is logged both for local SAM accounts and domain accounts.

You will also see event ID 4738 informing you of the same information.

Subject:

The user and logon session that performed the action.

• Security ID: The SID of the account.
• Account Name: The account logon name.
• Account Domain: The domain or - in the case of local accounts - computer name.
• Logon ID is a semi-unique (unique between reboots) number that identifies the logon session. Logon ID allows you to correlate backwards to the logon event (4624) as well as with other events logged during the same logon session.

Target Account:

• Security ID: SID of the account
• Account Name: name of the account
• Account Domain: domain of the account
• Old Account Name: old logon name
• New Account Name: new logon name

Fonte ID do evento 4781: o nome de uma conta foi alterado

Esta resposta é baseada no fato de que renomear a conta de usuário não alterar automaticamente o caminho do perfil.

Se a conta foi renomeada, mas o caminho do perfil não foi alterado, o nome do caminho pode ser encontrado no registro em %código% no item chamado HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList cujo valor será ProfileImagePath .

clique para ver imagem maior

Para converter o SID marcado para o nome da conta de usuário atual, digite cmd o comando:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name