¿Cómo identificar el nombre de perfil de usuario (original) de un nombre de cuenta de usuario modificado en Windows?

8

En Windows, el nombre de una cuenta de usuario sería diferente del nombre del perfil de usuario después de que se haya cambiado desde el Panel de control.

¿Cómo encontrar el nombre de perfil de usuario original de un nombre de cuenta de usuario modificado?

Fénixtriver
fuente

Respuestas:

6

Hay dos propiedades de "nombre" de cada cuenta, así que déjenme aclarar un poco las cosas para que no nos confundamos. Uno es el nombre de la cuenta SAM (Security Account Manager), que aparece en la salida de net user. Este es el nombre de la cuenta en lo que respecta a los componentes del sistema operativo de bajo nivel. El otro es el nombre para mostrar, que aparece en la página de Cuentas de usuario del Panel de control y en el menú Inicio. El complemento Usuarios y grupos locales para MMC ( lusrmgr.msc) muestra ambos: el nombre de SAM en la columna Nombre y el nombre para mostrar en la columna Nombre completo. El nombre SAM es lo que se usa para producir la carpeta de perfil.

No es muy fácil cambiar el nombre de SAM a menos que use este complemento MMC. Solo los cambios en el nombre SAM producen el evento 4781. Sospecho, dado que no ve un evento 4781 en su registro, que solo se cambió el nombre para mostrar. Esto solo produce el evento 4738 ("se modificó una cuenta de usuario"). El evento 4738 solo enumera el nuevo valor para el nombre para mostrar, no el valor anterior, y sospecho que el historial de nombres para mostrar no se guarda en ninguna parte (su mejor esperanza sería buscar en los registros para obtener más instancias de 4738).

Afortunadamente, encontrar la ruta del perfil de un nombre para mostrar no es demasiado difícil. Abra PowerShell y escriba este comando:

gwmi win32_useraccount

Obtienes un montón de entradas que se ven así:

AccountType : 512
Caption     : <redacted>\tester
Domain      : <redacted>
SID         : S-1-5-21-<redacted>-1018
FullName    : Test Account
Name        : tester

Encuentra el que FullNamemuestra el nombre para mostrar de la cuenta. Luego mire el SIDvalor (he redactado el SID de mi máquina aquí). Abra el Registro y navegue a la clave mencionada por harrymc:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Abra la subclave llamada igual que el SID que encontró. El ProfileImagePathvalor contiene la ruta a su carpeta de perfil.

Ben N
fuente
Recibo este mensaje de error después de ingresar el comando según lo indicado por usted:Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....
Fenixtriver
@FeniXtriver Vaya, parece que el Get-LocalUsercmdlet no existe en la versión de Windows 7 de PowerShell. (Probé en Windows 10.) También edité mi respuesta para trabajar en Windows 7.
Ben N
De hecho, también probé en Windows 10, pero parece que no funciona. De todos modos, el nuevo comando dado funciona ahora. Muchas gracias por su valioso aporte. He marcado su respuesta correcta. :)
Fenixtriver
8

¿Cómo encontrar el nombre de perfil de usuario original de un nombre de cuenta de usuario modificado?

Busque en el registro de eventos del sistema de seguridad de Windows EventID 4781: se cambió el nombre de una cuenta :

4781: se cambió el nombre de una cuenta

El usuario identificado por Asunto: cambió el nombre de inicio de sesión normal o el nombre de inicio de sesión anterior al Win2k del usuario identificado por la Cuenta de destino :. El evento 4738 en realidad proporciona mejor información sobre este cambio.

Este evento se registra tanto para cuentas SAM locales como para cuentas de dominio.

También verá el evento ID 4738 que le informa de la misma información.

Tema:

La sesión de usuario e inicio de sesión que realizó la acción.

  • ID de seguridad: el SID de la cuenta.
  • Nombre de cuenta: el nombre de inicio de sesión de la cuenta.
  • Dominio de cuenta: El dominio o, en el caso de cuentas locales, el nombre de la computadora.
  • ID de inicio de sesión es un número semi-único (único entre reinicios) que identifica la sesión de inicio de sesión. La identificación de inicio de sesión le permite correlacionarse hacia atrás con el evento de inicio de sesión (4624), así como con otros eventos registrados durante la misma sesión de inicio de sesión.

Cuenta objetivo:

  • ID de seguridad: SID de la cuenta
  • Nombre de cuenta: nombre de la cuenta
  • Dominio de cuenta: dominio de la cuenta
  • Nombre de cuenta anterior: nombre de inicio de sesión anterior
  • Nuevo nombre de cuenta: nuevo nombre de inicio de sesión

Fuente EventID 4781: El nombre de una cuenta se ha cambiado

DavidPostill
fuente
No pude encontrar este evento en el registro de eventos. ¿Existe alguna otra posibilidad que no sea el nombre de la cuenta de usuario que se cambia para que el nombre de la cuenta de usuario sea diferente del nombre de perfil de usuario? ¿O hay alguna otra forma de identificarse?
Fenixtriver
@FeniXtriver ¿Buscó en el registro de eventos de seguridad ? No conozco otras formas de cambiar el nombre del perfil de usuario a menos que alguien piratee el registro.
DavidPostill
1
Sospecho que hay cierta confusión sobre el nombre de la cuenta SAM frente al nombre para mostrar que está sucediendo aquí. Acabo de probar y cambiar el nombre para mostrar (por ejemplo, con el Panel de control) no crea el evento 4781 porque no cambia el nombre de SAM.
Ben N
@DavidPostill Sí, he examinado el registro de eventos de seguridad. Creo que Ben N tiene razón. Y he marcado su respuesta como correcta. Gracias por tu ayuda de todos modos. No dudes en avisarme si todavía tienes algo que agregar. :)
Fenixtriver
8

Esta respuesta se basa en el hecho de que cambiar el nombre de la cuenta de usuario no cambia automáticamente la ruta del perfil.

Si se cambió el nombre de la cuenta pero no se cambió la ruta del perfil, el nombre de la ruta se puede encontrar en el registro debajo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList del elemento ProfileImagePathcuyo valor será C:\Users\old-user-name.

imagen Haga clic para una imagen más grande

Para convertir el SID marcado al nombre de la cuenta de usuario actual, ingrese en cmd el comando:

wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name
harrymc
fuente
1
Para agregar más ... ¿no net userenumera los antiguos nombres de usuario también? De acuerdo, si hay muchos nombres de usuario, aún es difícil de entender, pero en una PC generalmente no lo es.
LPChip
1
@harrymc ¿Cómo sabrías qué ruta de perfil es para qué nombre de cuenta entonces?
Fenixtriver
1
Una forma sería tomar la clave, que es una cadena larga que comienza con 'S' e ingresar en cmd el comando wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name.
harrymc
@LPChip, tienes razón.
Fenixtriver
@harrymc El problema es que no sabríamos cuál es el SID en primer lugar. He marcado la respuesta de Ben N correcta en este momento. Muchas gracias por su aporte de todos modos. No dudes en avisarme si tienes algo que agregar. :)
Fenixtriver