Comment savoir si quelqu'un s'est connecté à mon compte dans Windows 7?

Dans Windows 7, existe-t-il un moyen de savoir si quelqu'un s'est connecté à mon compte lorsque j'étais absent?

Plus précisément, est-il possible de savoir si une personne disposant de privilèges d'administrateur a d'une manière ou d'une autre ouvert mon compte (c'est-à-dire pour accéder à mon e-mail, etc.)?

Méthode recommandée MODIFIÉE (veuillez noter Susan Cannon ci-dessous):

1. Appuyez sur le Windowsbouton + Ret tapez eventvwr.msc.

2. Dans l'Observateur d'événements, développez Journaux Windows et sélectionnez Système.

3. Au milieu, vous verrez une liste avec la date et l'heure, la source, l'ID d'événement et la catégorie de tâche. La catégorie de tâches explique à peu près l'événement, l'ouverture de session, l'ouverture de session spéciale, la fermeture de session et d'autres détails.

Les événements seront appelés Winlogon , avec l'ID d'événement 7001 .

Les détails de l'événement contiendront le UserSid of Account se connectant, que vous pouvez associer à une liste obtenue à partir de l'invite de commandes en utilisant:

wmic useraccount 

J'espère que cela t'aides!

Pour voir une liste, exécutez "PowerShell" et collez le script suivant dans sa fenêtre:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Vous aurez un tas de connexions système; ils sont normaux.

Ce que vous chercherez: ID d'événement 7001 - Winlogon.

Sous l'onglet Détails, recherchez UserSid

Une indication de connexion ressemblera à ceci: (win 8.1) Ce sera probablement différent dans win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Ouvrez ensuite l'invite de commande en cliquant avec le bouton droit sur le bouton Démarrer et en le sélectionnant.

Tapez "wmic useraccount" et faites correspondre le SID avec le nom d'utilisateur précédent dans la longue liste qui s'affiche.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Nous voyons dans la liste que Superuser est le compte correspondant au SID.

La réponse de Pathfinder de vérification du journal des événements vous permettra de savoir si quelqu'un s'est connecté à votre ordinateur. Cependant, cela ne vous dira pas s'ils se sont connectés à un autre ordinateur avec votre compte. Vous devez vérifier cette machine ou un contrôleur de domaine pour voir les connexions à partir d'autres machines.

Quant aux courriels, c'est une autre histoire. En tant qu'administrateur Exchange, je peux lire les e-mails de n'importe qui dans notre organisation. Honnêtement, je ne sais pas si cet accès est enregistré quelque part. Je suis sûr que ce serait le cas, mais cela ne serait disponible que pour les administrateurs Exchange.

Si vous êtes sur un réseau d'entreprise, cela ne fonctionnera pas. Les entreprises ont toutes sortes de connexions automatiques. J'ai regardé les événements 4648 ou 4624, et les ouvertures de session sont enregistrées avec succès même lorsque les gens ne sont pas au bureau (et non, personne ne se faufile pour se connecter aux ordinateurs). Il y en a des milliers. Je viens de me connecter au PC une fois et il y a 10 sources d'activité sous 4624. Je ne me suis pas connecté 10 fois. Hier, il y avait 12 connexions sous 4648, mais personne n'a touché au PC du tout ce jour-là. Ce n'est donc pas une liste précise des connexions de personnes réelles.

Si vous voulez les VRAIES informations de connexion, accédez à Système sous Journaux Windows et filtrez l'événement 7001 . C'est WINLOGONS réussi . Cela correspond aux connexions utilisateur et exclut les connexions système en arrière-plan. En utilisant cela, j'ai trouvé la liste appropriée des connexions utilisateur de personnes réelles réelles au PC.

Mais malheureusement, il ne me dit toujours pas qui est connecté. Notre entreprise ne conserve pas ces enregistrements car cela ferait un mile de long chaque jour. Je regarde l'ID utilisateur dans les détails, et l'ID utilisateur pour la connexion correspond maintenant à tous les autres ID utilisateur sous chaque connexion affichée. Et ce n'est pas mon PC, donc certaines des connexions ne sont certainement pas les miennes. Je ne connais donc pas cette partie.

Windows 7 Ultimate connecté à un domaine, mais se connectant localement.

Je viens de parcourir le journal des événements de sécurité et j'ai réalisé que la seule fois où je pouvais trouver des connexions "légitimes" était pour l'ID 4648 . Cela a fonctionné pour moi.