¿Cómo puedo saber si alguien ha iniciado sesión en mi cuenta en Windows 7?

En Windows 7, ¿hay alguna manera de saber si alguien ha iniciado sesión en mi cuenta cuando estaba ausente?

Específicamente, ¿es posible saber si una persona con privilegios de administrador ingresó de alguna manera a mi cuenta (es decir, para ingresar a mi correo electrónico, etc.)?

Método recomendado EDITADO (favor de votar a Susan Cannon abajo):

1. Presione el Windowsbotón +R y escriba eventvwr.msc.

2. En el visor de eventos, expanda los registros de Windows y seleccione Sistema.

3. En el centro, verá una lista con Fecha y hora, Origen, ID de evento y Categoría de tarea. La categoría de tareas explica el evento, el inicio de sesión, el inicio de sesión especial, el cierre de sesión y otros detalles.

Los eventos se llamarán Winlogon , con ID de evento . De 7001 .

Los detalles del evento contendrán el nombre de usuario de inicio de sesión de la cuenta, que puede coincidir con una lista obtenida del símbolo del sistema mediante:

wmic useraccount 

¡Espero que esto ayude!

Para ver una lista, ejecute "PowerShell" y pegue el siguiente script en su ventana:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Tendrás un montón de inicios de sesión del sistema; son normales

Lo que estará buscando: Id. De evento 7001 - Winlogon.

En la pestaña Detalles, busque UserSid

La indicación de un inicio de sesión se verá así: (win 8.1) Esto probablemente será diferente en win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Luego abra el símbolo del sistema haciendo clic derecho en el botón de inicio y seleccionándolo.

Escriba "wmic useraccount" y haga coincidir el SID con el nombre de usuario anterior en la larga lista que aparece.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Vemos de la lista que Superusuario es la cuenta que coincide con el SID.

La respuesta de Pathfinder de verificar el registro de eventos le permitirá saber si alguien inició sesión en su computadora. Sin embargo, eso no le dirá si iniciaron sesión en otra computadora con su cuenta. Tendría que verificar esa máquina o un controlador de dominio para ver los inicios de sesión desde otras máquinas.

En cuanto a los correos electrónicos, esa es otra historia. Como administrador de Exchange, puedo leer los correos electrónicos de cualquier persona en nuestra organización. Honestamente, no sé si ese acceso está registrado en alguna parte. Estoy seguro de que lo sería, pero eso solo estaría disponible para los administradores de Exchange.

Si está en una red corporativa, esto no funcionará. Las corporaciones tienen todo tipo de inicios de sesión automáticos. Observé cualquiera de los eventos 4648 o 4624, y los inicios de sesión se registran correctamente incluso cuando las personas no están en la oficina (y no, nadie se está infiltrando para iniciar sesión en las PC). Hay miles de ellos. Acabo de iniciar sesión en la PC una vez, y hay 10 fuentes de actividad bajo 4624. No inicié sesión 10 veces. Hubo 12 inicios de sesión ayer bajo 4648, pero nadie tocó la PC en todo ese día. Entonces esa no es una lista precisa de inicios de sesión de personas reales.

Si desea la información de inicio de sesión REAL, vaya a Sistema en Registros de Windows y filtre en el evento 7001 . Esto es exitoso WINLOGONS . Esto corresponde a los inicios de sesión de los usuarios y excluye los inicios de sesión del sistema detrás de escena. Usando esto, encontré la lista adecuada de inicios de sesión de usuarios de personas reales en vivo en la PC.

Pero desafortunadamente todavía no me dice quién inició sesión. Nuestra compañía no mantiene esos registros, ya que tendría una milla de largo todos los días. Miro la ID de usuario en los detalles, y la ID de usuario para iniciar sesión ahora coincide con cualquier otra ID de usuario en cada inicio de sesión que se muestra. Y esta no es mi PC, por lo que algunos de los inicios de sesión definitivamente no son míos. Entonces no sé sobre esa parte.

Windows 7 Ultimate se conectó a un dominio, pero inició sesión localmente.

Acabo de revisar el registro de eventos de seguridad y me di cuenta de que la única vez que pude encontrar inicios de sesión "legítimos" fue para el ID 4648 . Esto funcionó para mí.