Il y a deux propriétés "nom" pour chaque compte, alors permettez-moi de clarifier un peu les choses afin de ne pas nous embrouiller. L'un est le nom de compte SAM (Security Account Manager), qui apparaît dans la sortie de net user
. Il s'agit du nom du compte en ce qui concerne les composants du système d'exploitation de bas niveau. L'autre est le nom d'affichage, qui apparaît dans la page Comptes d'utilisateurs du Panneau de configuration et dans le menu Démarrer. Le composant logiciel enfichable Utilisateurs et groupes locaux pour MMC ( lusrmgr.msc
) affiche les deux: le nom SAM dans la colonne Nom et le nom d'affichage dans la colonne Nom complet. Le nom SAM est utilisé pour produire le dossier de profil.
Il n'est pas très facile de modifier le nom SAM sauf si vous utilisez ce composant logiciel enfichable MMC. Seules les modifications apportées au nom SAM produisent l'événement 4781. Je suppose, étant donné que vous ne voyez pas d'événement 4781 dans votre journal, que seul le nom d'affichage a été modifié. Cela ne produit que l'événement 4738 ("un compte d'utilisateur a été modifié"). L'événement 4738 répertorie uniquement la nouvelle valeur du nom d'affichage, pas l'ancienne valeur, et je soupçonne que l'historique des noms d'affichage n'est conservé nulle part (votre meilleur espoir serait de fouiller dans les journaux pour plus d'instances de 4738).
Heureusement, trouver le chemin du profil à partir d'un nom d'affichage n'est pas trop difficile. Ouvrez PowerShell et tapez cette commande:
gwmi win32_useraccount
Vous obtenez un tas d'entrées qui ressemblent à ceci:
AccountType : 512
Caption : <redacted>\tester
Domain : <redacted>
SID : S-1-5-21-<redacted>-1018
FullName : Test Account
Name : tester
Trouvez celui qui FullName
affiche le nom d'affichage du compte. Ensuite, regardez la SID
valeur (j'ai caviardé le SID de ma machine ici). Ouvrez le registre et accédez à la clé mentionnée par harrymc:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Ouvrez la sous-clé portant le même nom que le SID que vous avez trouvé. La ProfileImagePath
valeur contient le chemin d'accès à leur dossier de profil.
Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....
Get-LocalUser
applet de commande n'existe pas dans la version Windows 7 de PowerShell. (J'ai testé sur Windows 10.) J'ai modifié ma réponse pour qu'elle fonctionne également sur Windows 7.Comment trouver le nom de profil utilisateur d'origine à partir d'un nom de compte utilisateur modifié?
Regardez dans le journal des événements du système de sécurité Windows pour EventID 4781: le nom d'un compte a été modifié :
ID d'événement source 4781: le nom d'un compte a été modifié
la source
Cette réponse est basée sur le fait que renommer le compte d'utilisateur ne change pas automatiquement le chemin du profil.
Si le compte a été renommé mais que le chemin du profil n'a pas été modifié, le chemin-nom peut être trouvé dans le registre sous
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
dans l'élément nomméProfileImagePath
dont la valeur seraC:\Users\old-user-name
.cliquer pour agrandir l'image
Pour convertir le SID marqué en nom de compte d'utilisateur actuel, entrez dans cmd la commande:
la source
net user
répertorie pas également les anciens noms d'utilisateur? D'accord, s'il y a beaucoup de noms d'utilisateurs, c'est encore difficile à comprendre, mais sur un PC, ce n'est généralement pas le cas.wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
.