使用PowerShell，我可以找到何時創建用戶帳戶？

Question

這是一個簡單的問題。我知道信息在某處。我一直在用Powershell敲打3天，然後靠近。說實話，我太忙了。

這是情況。人員進入並在本地機器上創建一個帳戶（Windows 7）。如何查找帳戶何時創建。我瞭解在配置文件中查找NTUSER.DATE日期，但這不起作用。我得到的信息都是在csv中傳播出來的，並且沒有簡單的方法讓它可讀。

Get-Item -force "C:\Users\*\ntuser.dat" | 
Where {((Get-Date)-$_.lastwritetime).days } | 
Out-File c:\profiles.csv 

我可以看到安全日誌中的信息，並且我可以提取所有4720個事件。但是，這也不一致，特別是如果幾個月前某些流氓（像我一樣）清除了事件日誌。

Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4720 } | 
EXPORT-CSV C:\NewStaff.csv 

但是，這並不真正讓我得到我所需要的。我需要的只是用戶名和賬戶創建日期。我知道這並不那麼簡單（儘管它應該是LOL）。這是一次性工作，我非常喜歡Powershell（儘管過去幾天我學到了很多東西）。

無論如何，如果有人不介意扔我骨頭，我會很感激。 感謝您的期待。

Answer 1

你確實非常接近。你現在需要的只是格式化。例如：

Get-EventLog -LogName "Security" | Where-Object { $_.EventID -eq 4720 } ` 
    | Select-Object -Property ` 
     @{Label="LogonName";Expression={$_.ReplacementStrings[0]}}, ` 
     @{Label="CreationTime";Expression={$_.TimeGenerated}} ` 
    | Export-Csv C:\NewStaff.csv -NoTypeInformation