Como descobrir quais credenciais de usuário foram usadas para se conectar a um compartilhamento SMB

Navegue suas respostas
2

Atualmente, estou executando um cliente Windows 7 com uma unidade de rede mapeada Z: para \ someserver \ someshare, que eu posso ver no explorer. Como posso descobrir qual conta de usuário foi realmente usada para criar este mapeamento?

Então, o que eu estou pedindo é: eu já tenho uma unidade de rede mapeada, mas quero saber depois qual usuário foi usado para se conectar.

Eu posso ver nas propriedades, é claro, a qual servidor estou conectado, mas não quais credenciais foram realmente usadas para se conectar a esse compartilhamento em um servidor. Existe uma maneira de usar o comando net ou algo similar?

    
por Erik 14.12.2017 / 13:58

1 resposta

2

Eu já tenho uma unidade de rede mapeada, mas quero saber depois qual usuário foi usado para se conectar.

Tente examinar os logs de eventos em EventID 5140: um objeto de compartilhamento de rede foi acessado :

5140: Um objeto de compartilhamento de rede foi acessado

Subject:

The user and logon session that accessed the share.

  • Security ID: The SID of the account.
  • Account Name: The account logon name.
  • Account Domain: The domain or - in the case of local accounts - computer name. Logon ID is a semi-unique (unique between reboots) number that identifies the logon session. Logon ID allows you to correlate backwards to the logon event (4624) as well as with other events logged during the same logon session.

...

Exemplos de 5140 

A network share object was accessed.

Subject:

   Security ID:  ACME-FR\Administrator
   Account Name:  Administrator
   Account Domain:  ACME-FR
   Logon ID:  0x74a739

Network Information:

   Source Address:  10.42.42.221
   Source Port:  65097

Share Name:   \*\Dharma Initiative Protocols
    
por 14.12.2017 / 14:08

Tags

“Pressione qualquer tecla para inicializar a partir de USB” não funciona na instalação do Windows 10 make: mk-build-deps: comando não encontrado