Ich kam zur Arbeit und stellte fest, dass mein Desktop verschoben und Anwendungen geschlossen wurden. Gibt es eine Möglichkeit, festzustellen, wann mein Computer entsperrt wurde?
Antwort1
Wie oben erwähnt, können Sie die Ereignisanzeige verwenden, um zu sehen, wer sich angemeldet hat. Sie möchten wahrscheinlich prüfen, nach welcher Ereignis-ID gefiltert werden soll, z. B. 4624 (http://support.microsoft.com/kb/947226) und suchen Sie dann die letzten Einträge, die nicht Ihrem Benutzernamen entsprechen.
Klicken Sie mit der rechten Maustaste auf „Sicherheit“ und wählen Sie „Aktuelles Protokoll filtern“
Geben Sie stattdessen die gewünschte Ereignis-ID ein, z. B. 4624
OK klicken
Antwort2
Sie können gwmi win32_userprofile -ComputerName computer_name_hereeinen Befehl in Powershell ausführen, der eine Liste mit Benutzerprofilen, Pfaden, SIDs, Anmeldezeiten usw. generiert. Achten Sie dabei auf Folgendes:LetzteVerwendungUndLokaler PfadVariablen. Beide geben Ihnen Hinweise darauf, wer sich wann angemeldet hat.