Почему на экране входа в Windows отображается другое имя пользователя?

1

На компьютере моей компании на работе я нашел имя пользователя другого человека в диалоге входа в систему для Exchange. Я изучил журналы безопасности и не обнаружил никаких следов удаленного или локального доступа. Никто не использует этот компьютер, кроме меня.

Имя пользователя принадлежит одному из администраторов, и он давно использовал удаленный вход. У него также есть каталог пользователя. Однако мне интересно, почему его имя пользователя появляется сейчас? Возможно ли, что он вошел в систему и скрыл свои следы (но не все)?

Есть ли другое место, где я могу найти, если он недавно вошел в систему, кроме журналов?

Спасибо!

Эль Камино
источник
по умолчанию MS показывает имя пользователя последнего успешного входа, но есть некоторые вещи, которые могут испортить его. это окно входа в систему, которое вы видите и используете на регулярной основе? Удалить определенные журналы нелегко, поэтому, если в журнале содержится много данных, менее вероятно, что они были изменены. проверьте его профиль на наличие признаков недавних изменений файлов в скрытых файлах, таких как NTUser.dat или NTUSer.dat.log.
Фрэнк Томас
1
Есть ли какая-то реальная проблема, кроме другого имени, находящегося в диалоговом окне? Была ли скомпрометирована ваша учетная запись?
CharlieRB
Ничто не было фактически скомпрометировано AFIAK. Но я нахожу подозрительным, что это имя пользователя появляется спустя месяцы после его последнего (законного) входа.
Эль Камино

Ответы:

2

Похоже, администратор вошел в систему, чтобы сделать свою работу, и ему позволено это делать. ;) Почему бы просто не спросить админа, если это был он?

В любом случае, если аудит аккаунта отключен (что по умолчанию), дополнительная информация о входе в систему не будет записываться.

Ƭᴇcʜιᴇ007
источник
2
В качестве ответа на ответ techie007, когда вы говорите «На моем компьютере в работе», это должно правильно сказать «На компьютере моей компании в работе»,
EBGreen
Ну, не совсем так, поскольку политика компании разрешает удаленный доступ только в случае открытых билетов. Аудит аккаунта включен.
Эль Камино