Existem duas propriedades de "nome" de cada conta. Deixe-me esclarecer um pouco as coisas para não ficarmos confusos. Um é o nome da conta SAM (Security Account Manager), que aparece na saída de net user. Esse é o nome da conta no que diz respeito aos componentes do sistema operacional de baixo nível. O outro é o nome de exibição, que aparece na página Contas de usuário do painel de controle e no menu Iniciar. O snap-in Usuários e Grupos Locais para o MMC ( lusrmgr.msc) mostra: o nome do SAM na coluna Nome e o nome para exibição na coluna Nome Completo. O nome do SAM é usado para produzir a pasta de perfil.
Não é muito fácil alterar o nome do SAM, a menos que você use este snap-in do MMC. Somente alterações no nome do SAM produzem o evento 4781. Suspeito que, como você não vê um evento 4781 em seu log, apenas o nome de exibição foi alterado. Isso produz apenas o evento 4738 ("uma conta de usuário foi alterada"). O evento 4738 lista apenas o novo valor para o nome de exibição, não o antigo, e eu suspeito que o histórico dos nomes de exibição não seja mantido em lugar algum (sua melhor esperança seria procurar nos logs por mais instâncias de 4738).
Felizmente, encontrar o caminho do perfil a partir de um nome para exibição não é muito difícil. Abra o PowerShell e digite este comando:
gwmi win32_useraccount
Você recebe várias entradas parecidas com esta:
AccountType : 512
Caption : <redacted>\tester
Domain : <redacted>
SID : S-1-5-21-<redacted>-1018
FullName : Test Account
Name : tester
Encontre o que FullNamemostra o nome de exibição da conta. Em seguida, observe o SIDvalor (reduzi o SID da minha máquina aqui). Abra o registro e navegue até a chave mencionada por harrymc:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Abra a subchave com o mesmo nome do SID encontrado. O ProfileImagePathvalor mantém o caminho para sua pasta de perfil.
Get-LocalUser : The term 'Get-LocalUser' is not recognized as the name of a cmdlet....Get-LocalUsercmdlet não existe na versão Windows 7 do PowerShell. (Testei no Windows 10.) Também editei minha resposta para funcionar no Windows 7.Como encontrar o nome do perfil de usuário original de um nome de conta de usuário alterado?
Procure no EventID 4781 o log de eventos do sistema de segurança do Windows : O nome de uma conta foi alterado :
Origem EventID 4781: O nome de uma conta foi alterado
fonte
Esta resposta é baseada no fato de que renomear a conta do usuário não altera automaticamente o caminho do perfil.
Se a conta foi renomeada, mas o caminho do perfil não foi alterado, o nome do caminho pode ser encontrado no registro,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileListno item nomeadoProfileImagePathcujo valor seráC:\Users\old-user-name.Para converter o SID marcado no nome atual da conta do usuário, digite no comando cmd o comando:
fonte
net userlista os nomes de usuário antigos? Ok, se há muitos nomes de usuário, ainda é difícil descobrir, mas em um PC geralmente não é.wmic useraccount where sid='S-1-3-12-12451234567-1234567890-1234567-1434' get name.