Letzten Login eines Kontos herausfinden

[Cord]

Hallo,

ich nutze mit Vista Home Premium zwei verschiene Konten, ein Admin-Konto (um Programme zu installieren, einzurichten u.Ä.) und ein Standartkonto für alles andere.

Jetzt bin ich in einer Situation, wo es für mich wichtig wäre, herauszufinden, wann ich mich mit dem Adminkonto zuletzt angemeldet habe.

Gibt es eine Möglichkeit, das irgendwie herauszufinden?

Vielleicht gibt es ja im Profilordner eine Datei, dessen "letztes Änderungsdatum" sich bei jedem Login ändern, sodass man das da vielleicht heraus erkennen würde.
Oder eben so was in der Art.

Wäre wirklich toll, wenn jemand was weiß.

 

[blümli]

Kannst du nachschauen unter Systemsteuerung>Verwaltung>Ereignissanzeige>Windows-Protokolle>Sicherheit ...

Geht aber nur als Admin.

 

[Cord]

Muss ich das von dem Adminkonto aus machen?

Oder kann ich es auch von dem eingeschränkten Konto (mit Eingabe des Admin-PWs) aus einsehen?



Weil ich will mich jetzt lieber nicht mit dem Adminkonto einloggen, weil ich sonst vielleicht Spuren zertrampel, die ich noch brauchen könnte.

 

[Behemoth08]

Warum probierst du es dann nicht einfach? Logg dich als nicht-Admin ein und schau nach. Entweder gehts oder eben nicht.

 

[werkam]

Weil ich will mich jetzt lieber nicht mit dem Adminkonto einloggen, weil ich sonst vielleicht Spuren zertrampel, die ich noch brauchen könnte.

Welche Spuren benötigst Du denn?
Start->Ausführen->"gpedit.msc"->Computerkonfiguration->Windows-Einstellungen->Lokale Richtlinie->
Überwachungsrichtlinien>> "Anmeldeereignisse überwachen" aktivieren.
Abmelden und wieder anmelden: Die Anmeldungen stehen dann im Ereignisprotokoll unter "Sicherheit", leider musst Du das auch als Administrator einstellen. Könntest ja einen Benutzer mit Adminrechten einrichten, aber dazu musst Du ja auch als Administrator angemeldet sein.

 

[Merle]

Die Datei:

(Win7)
C:\Users\Username\NTUSER.dat

oder
(WinXP)
C:\Documents and Settings\Username\NTUSER.dat

Wie es bei Vista ist weiss ich nicht, aber eins von den beiden funktioniert.

 

[werkam]

Die Dateien vom Administrator siehst Du aber nur als Administratore.

 

[Merle]

Oh ja...

 

[M80331]

Mal blöd eine Überlegung in den Raum gestellt:

Könnte man nicht die Computerverwaltung "ausführen als" Administrator, wäre ja in dem Sinne kein Login, dann einen zweiten Admin anlegen, sich mit diesem einloggen und so die ntuser.dat des ersten Admin ansehen?

 

[Cord]

Das ist, denke ich gar nicht nötig.

Zum einen kann man durch eingabe des Admin-PWs das eingeschränkte Konto direkt auf Admin heraufstufen.
Zum anderen kann man unter Eingabe des Admin-PWs auch die Dateien des Admin-Kontos öffnen.

Werde das alles heute noch testen, aber jetzt erstmal ein Image von meiner Systempartition machen.

Aber trotzdem hast du recht, dass es so auch klappen würde.

Danke an alle für eure Hilfe und die nützlichen Ideen!

Ergänzung (19. Januar 2010)

So .. die Ergebnisse:

Die NTUSER.dat lässt sich nicht öffnen (auch nicht vom anderen Konto aus)

Und aus der Ereignisanzeige/Sicherheit werde ich nicht schlau.
Selbst, wenn ich die Ereignisse (etwa: Anmeldung) filtere und nach Datum sortiere...

Denn ich kann nicht unterscheiden, von welchem Konto aus die Anmeldung erfolgt ist.
Und dazu kommt noch, dass da viele "Anmelde"-Ereignisse stehen, wo ich weiß, dass ich mich da nicht angemeldet habe.

Oder muss ich nach was anderem suchen?

 

[Merle]

NATÜRLICH lässt sich die NTUSER.dat nicht öffnen.
Da hätte das letzte Änderungsdatum gezählt.

 

[Cord]

Verstehe...
Das ändert sich aber leider auch immer, wenn ich das pw aus dem eingeschränkten Konto heraus eingeben muss, um mir temporär für etwas die Berechtigung zu holen.
Und da ich das mehrmals am Tag mache, ist da kein Informationsgehalt mehr rauszuholen.

Ich fürchte, Vista macht zwischen nem echten Login und diesem kurzen Akt keinen Unterschied und verarbeitet das beides als "Anmeldung"

 

[werkam]

Richtig, deshalb kann man das nur mit einer PE oder Linux CD auslesen, wenn man keine zusätzliche Admin Konto hat, um auf alle Dateien Zugriff zu haben.