我通过tests登录了我的Windows 7 Enterprise机器标准用户用户并运行命令以检查上次登录信息。请参考下面的输出
网络用户测试| findstr " login ">
最后登录日期:2021年9月16日12:18:17 PM
然后对testa运行相同的命令管理员用户用户为同一台机器。
net user testa | findstr " login ">
最后登录日期:2021年9月16日11:36:17 PM
至今净用户显示预期的信息。后来我开始做服务业。使用运行为管理员通过提供testa用户的凭据,并再次执行相同的命令。但是这次最后一次登录的时间戳被更改为如下所述。
net user testa | findstr " login ">
最后登录时间2021年9月16日12:19:17 PM
所以,请任何人可以帮助我解释一下这里发生了什么,因为我大部分时间都在linux平台上工作,对windows很陌生。
当作为管理员运行时,windows是否为admin用户启动会话动作被触发了?
有没有更好的方法来找出最后登录时间对于所有Windows用户?
在某种程度上有两种类型的登录。
"full"一种登录方式,用户点击自己的名字登录,创建一个新的TS会话+窗口站+桌面,并启动他们的shell(通常是Explorer.exe)。
调用LogonUser函数(或其他需要用户名和密码的相关函数)的另一种登录类型。这个函数创建一个表示用户及其组和权限的令牌。"full"Logon也调用这个函数。
. Net API(和. Net .exe)只是告诉你最近的LogonUser认证事件。
我相信总有办法找出"其他"的;也是登录事件的类型,但是现在什么也想不出来。
您可以通过编程方式创建NT服务并获得会话更改的通知(查看WTS* API)。