วิธีที่แนะนำแก้ไข (โปรดโหวตซูซานแคนนอนลงด้านล่าง):
กดWindowsปุ่ม + และประเภทReventvwr.msc
ในตัวแสดงเหตุการณ์ขยายบันทึกของ Windows และเลือกระบบ
ตรงกลางคุณจะเห็นรายการที่มีวันที่และเวลาที่มารหัสเหตุการณ์และหมวดหมู่งาน หมวดหมู่งานอธิบายถึงเหตุการณ์การเข้าสู่ระบบการเข้าสู่ระบบพิเศษการออกจากระบบและรายละเอียดอื่น ๆ
เหตุการณ์ที่เกิดขึ้นจะถูกเรียกว่าWinlogonกับรหัสเหตุการณ์7001
รายละเอียดเหตุการณ์จะมีUserSidของการเข้าสู่ระบบบัญชีซึ่งคุณสามารถจับคู่กับรายการที่ได้รับจากพร้อมรับคำสั่งโดยใช้:
wmic useraccount
หวังว่านี่จะช่วยได้!
หากต้องการดูรายการให้เรียกใช้ "PowerShell" และวางสคริปต์ต่อไปนี้ลงในหน้าต่าง:
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
คุณจะมีการเข้าสู่ระบบเครือ พวกเขาเป็นเรื่องปกติ
สิ่งที่คุณจะมองหา:
รหัสเหตุการณ์ 7001 - Winlogon
ภายใต้แท็บรายละเอียดให้มองหาUserSid
ข้อบ่งชี้ของการเข้าสู่ระบบจะมีลักษณะดังนี้: (ชนะ 8.1) นี่อาจจะแตกต่างกันในการชนะ 7
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
จากนั้นเปิดพรอมต์คำสั่งโดยคลิกขวาที่ปุ่มเริ่มแล้วเลือก
พิมพ์ "wmic useraccount" และจับคู่ SID กับชื่อผู้ใช้ก่อนหน้าในรายการยาวที่ปรากฏขึ้น
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
เราเห็นจากรายการที่Superuserเป็นบัญชีที่ตรงกับ SID