Os dados estão no SAM, mas não parecem ser documentados publicamente pela Microsoft e não estou encontrando uma API oficial para recuperá-los. Eu posso ver, olhando para o código-fonte para o utilitário chntpw
que o valor é armazenado na chave de registro "F" para cada conta. Quoth o código-fonte:
#define USER_F_PATH "\SAM\Domains\Account\Users\%08X\F"
struct user_F {
...
char t_creation[8]; /* Time of account creation */
...
}
O projeto forense regripper tem um plug-in, samparse que relatará a data de criação da conta.
Uma ferramenta forense provavelmente não é o que você quer, mas parece que a Microsoft não está facilitando o processo.
Ao pesquisar isso, achei interessante que uma O Microsoft MVP não sabia que os dados de criação da conta estão armazenados no SAM . Para seu benefício, talvez ele não esteja longe do utilitário chntpw
, que é onde eu comecei minha busca por informações sobre estruturas de SAM não documentadas.